Webserver des Open-Source-Projekts SquirrelMail gehackt

Sicherheitshalber haben die Betreiber den Zugriff auf alle Plug-ins gesperrt, um zu untersuchen, ob diese manipuliert wurden. Der Sourcecode von SquirrelMail soll nicht kompromittiert worden sein.

In Pocket speichern vorlesen Druckansicht 53 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Wie erst jetzt bekannt wurde, sind Unbekannte am 16. Juni in den Webserver des Open-Source-Projekts SquirrelMail eingedrungen. Daraufhin haben die Betreiber alle Konten gesperrt und alle wichtigen Passwörter zurückgesetzt. Zudem wurden der Zugriff auf den Original-Server und alle verfügbaren Plug-ins gesperrt. Die Betreiber glauben, dass keines der Plug-ins kompromittiert wurde, sie untersuchen den Fall aber noch. Mit Plug-ins anderer Hersteller lässt sich der Funktionsumfang von SquirrelMail erweitern.

Wie die Täter in den Server eindrangen, ist noch unbekannt. Nach Angaben der Betreiber war zu keiner Zeit der Zugriff auf den Sourcecode des Webmailers SquirrelMail möglich, da dieser auf einem separatem Server liegt. Aktuell versuchen Phisher mit einer Spam-Kampagne Anwender aber vom Gegenteil zu überzeugen. In einer E-Mail behaupten sie, dass die Versionen 1.4.11, 1.4.12 und 1.4.13 eine Backdoor enthalten und daher Version 1.4.15 zum Download bereitstehe:

Due to the package compromise of 1.4.11,1.4.12 and 1.4.13, we are forced to release 1.4.15 to ensure no confusions. While initial review didn't uncover a need for concern, several proof of concepts show that the package alterations introduce a high risk security issue, allowing remote inclusion of files. These changes would allow a remote user the ability to execute exploit code on a victim machine, without any user interaction on the victim's server. This could grant the attacker the ability to deploy further code on the victim's server.

We STRONGLY advise all users of 1.4.11, 1.4.12 and 1.4.13 upgrade immediately.

Die E-Mail enthält einen Link, der auf eine Login-Seite von SquirrelMail führen soll. Stattdessen landet man auf einer nachgemachten Seite, die nach Username und Passwort fragt. Stutzig sollte man aber nicht erst auf der Phishing-Seite werden, sondern bereits beim Lesen der vermeintlichen Warnung: Aktuell ist nämlich die Version 1.4.19. Anwender von SquirrelMail müssen sich also vorerst keine Sorgen machen, dass ihr Server manipuliert werden kann. (dab)