Web-Sicherheit

August 16, 2011

Auch zahlreiche deutschsprachige osCommerce-Shops verseucht

Filed under: Allgemein — sebastiankuebeck @ 08:47
Tags: , , , , , ,

Wie berichtet warnen Sicherheitsunternehmen seit einiger Zeit vor Angriffen auf Online-Shops, die auf älteren Versionen von osCommerce basieren. Inzwischen weist auch das deutsche BSI (Bundesministerium für Sicherheit in der Informationstechnik) auf diese Angriffe hin.

Nach Erkenntnissen des BSI sind inzwischen mehrere tausend Online-Shops weltweit betroffen, darunter auch viele deutschsprachige. Die von den Angreifern für die Manipulationen ausgenutzten Sicherheitslücken wurden bereits in der vom Hersteller im November 2010 veröffentlichten Version osCommerce 2.3 geschlossen. Viele Online-Shops setzen jedoch immer noch ältere Versionen ein.

In der Fachpresse wurde bereits Ende Juli 2011 über diese Angriffe berichtet. Beobachtungen des BSI zufolge haben Betreiber von Online-Shops bislang jedoch nur teilweise reagiert und Manipulationen behoben sowie ein Update der eingesetzten osCommerce Software durchgeführt. Das BSI weist daher aus diesem Anlass auf den akuten Handlungsbedarf hin.

Weiterhin empfiehlt das BSI Online-Shop-Betreibern dringend, ihre osCommerce-Installation zu aktualisieren. Das dürfte aus zwei Gründen für viele Shop-Betreiber nicht ganz einfach sein:

  • Viele Shop-Betreiber wissen gar nicht, dass sie osCommerce betreiben, da sie die Erstellung und Wartung des Shops ausgelagert haben. Die Shops werden oft von Studenten oder ausländischen Billiganbietern erstellt, die nicht die geringste Ahnung von IT-Sicherheit haben.
  • Bei osCommerce handelt es sich um eine Ansammlung von Skripten, die in der Regel an die jeweiligen Anforderungen des Shopbetreibers angepasst werden. Hat ein Shopbetreiber Anpassungen vorgenommen oder vornehmen lassen, lässt sich das Update nicht ohne weiteres einspielen. Stattdessen müssen die Änderungen in die neue osCommerce-Version integriert werden und das ist in der Regel ziemlich aufwändig.

Aus diesen Gründen ist es also unwahrscheinlich, das viele Online-Shop-Betreiber ihre osCommerce-Installation tatsächlich in der nächsten Zeit aktualisieren. Es sollte allerdings erwähnt werden, dass der Shopbetreiber prinzipiell für seinen Online-Shop haftet. Kommt also ein Besucher durch einen Online-Shop zu Schaden, muss der Shop-Betreiber unter Umständen Schadenbersatz leisten (siehe auch GIS drohen nun möglicherweise Schadenersatzforderungen).

Update: Schnellhilfe für osCommerce-Admins
In seinem Artikel Schnellhilfe für osCommerce-Admins zeigt Jürgen Schmidt wie man verwundbare osCommerce-Installationen auch ohne aufwendiges Update absichert und wie man erkennt, ob die verwendete osCommerce-Installation bereits angegriffen wurde.

Diese osCommerce-Version ist anfällig. Quelle: heise security.

2 Kommentare »

  1. Es ist insgesamt Blödsinn, zu versuchen, „Sicherheit“* in Anwendungssysteme zu integrieren. Hat bisher nie funktioniert, wird es auch nicht.

    Frage: Warum konnten überhaupt Code und Daten kompromittiert werden? Warum hatte der http-Daemon Schreibrechte auf diese Objekte?

    fragt HA

    *) egal nach welcher Definition….

    mfg HA

    Kommentar von Hans Adams — August 16, 2011 @ 09:10 | Antwort

  2. > Warum konnten überhaupt Code und Daten kompromittiert werden? Warum hatte der http-Daemon Schreibrechte auf diese Objekte?
    Weil es im Web-Geschäft primär um Kosten geht und nicht um Sicherheit. Die Leute, die solche Web-Shops betreiben haben in vielen Fällen überhaupt keine Ahnung, wie Betriebssystemberechtigungen genau funktionieren und wie sie die Sicherheit beeinflussen.

    Kommentar von sebastiankuebeck — August 16, 2011 @ 12:24 | Antwort


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: