Kritische Sicherheitslücke in der Webshop-Software Shopware

Die vor allem in Deutschland beliebte Software aus Schöppingen hat eine Schwachstelle, über die Angreifer beliebigen Schadcode ausführen können.

Die Entwickler der Webshop-Software Shopware warnen vor einer kritischen Sicherheitslücke, über die Angreifer beliebigen Schadcode ausführen können. Die Firma aus Schöppingen, deren Webshops vor allem in Deutschland zum Einsatz kommen, schätzt es als “zwingend erforderlich” ein, dass betroffene Admins Sicherheitsupdates einspielen.

Betroffen sind die Shopware-Versionen 4.0.0 bis einschließlich 5.2.14. Die gefixte Version 5.2.15 wird bereits über den Auto-Updater der Software verteilt. Alternativ stopft das Shopware-Plugin SwagSecurityHotFix201701 die Sicherheitslücke und steht ebenfalls zum Download bereit.[ Quelle: Heise Security ]

Magento-Lücke wird aktiv ausgenutzt

Wer einen Magento-Shop betreibt und noch nicht das jüngste Sicherheits-Update installiert hat, muss mit unerwünschten Besuchern rechnen. Hacker nutzen die Lücke aus, um SQL-Befehle in den Datenbankserver einzuschleusen.

Die am Montag bekannt gewordene Sicherheitslücke in dem E-Commerce-System Magento wird bereits aktiv für Cyber-Attacken missbraucht. Die Sicherheitsfirma Sucuri hat Angriffe beobachtet, bei denen versucht wurde, einen neuen Nutzer names “admin_user” anzulegen. Sie gingen von den russischen IP-Adressen 62.76.177.179 und 185.22.232.218 aus. Bei der Lücke handelt es sich offenbar um eine SQL-Injection, Angreifer können durch die Lücke also beliebige SQL-Befehle einschleusen.

Entdeckt hat die Lücke Check Point. Das Unternehmen hatte die Details zwar unter Verschluss gehalten, durch das jüngst veröffentlichte Sicherheits-Update SUPEE-5344 erhalten aber auch Angreifer alle nötigen Informationen, um die Lücke auszunutzen – ein Vergleich der PHP-Skripte reicht aus. Wer einen Magento-Shop betreibt, sollte das Update umgehend installieren.
[Quelle: Heise Security]

Angriffe auf ShellShock-Lücke häufen sich

Die kürzlich entdeckte Lücke in der Unix-Shell Bash wird nun von Angreifern aktive genutzt, um Webserver anzugreifen. Mittlerweile haben aber alle großen Linux-Distributionen ein zweites Update veröffentlicht, welches die Lücke entgültig stopfen soll.

Die vor kurzem bekannt gewordene Bash-Lücke, in Anlehnung an den Ersten Weltkrieg unter dem Namen ShellShock bekannt, wird nun aktiv von Angreifern ausgenutzt, um Webserver anzugreifen. Auf GitHub ist Quellcode aufgetaucht, der es auch technisch weniger versierten Hackern erlaubt, verwundbare Systeme anzugreifen. Zudem verzeichnen mehrere Sicherheitsfirmen Angriffe auf Honeypot-Systemen. Auch heise Security liegen Log-Einträge vor, die nahelegen, dass Unbekannte versuchen, die Lücke auf Webservern anzugreifen. Ziel der Angriffe scheint es zu sein, die Zielrechner in Botnetze einzureihen.
Updates stehen bereit

Aber auch auf Seite der Verteidiger hat sich in den gut 48 Stunden seit Entdeckung der Lücke einiges getan. Linux-Distributionen wie Fedora, Red Hat Enterprise Linux (RHEL), Ubuntu, Debian und OpenSuse haben mittlerweile zwei Updates für Bash veröffentlicht. Der erste hatte die ursprüngliche durch Stéphane Chazelas entdeckte Lücke (CVE-2014-7169) geschlossen, allerdings wurde ein zweiter Patch (CVE-2014-6271) nötig, nachdem es Google-Forscher Tavis Ormandy gelungen war, das erste Update zu umgehen und Bash trotzdem zum Ausführen von Code zu bewegen. Nutzer sollten also auf jeden Fall prüfen, ob ihre Bash-Pakete auf dem neuesten Stand sind. [Quelle: Heise Online]

Trojanisierte FileZilla-Version greift Zugangsdaten ab

Wolf im Schafspelz: Es kursieren manipulierte Binaries des FTP-Clients FileZilla, die um Spionagefunktionen ergänzt wurden. Die Entwickler der trojanisierten Fassungen haben sich große Mühe gegeben, nicht aufzufallen.

Der Virenschutz-Hersteller Avast hat manipulierte Versionen des FTP-Clients FileZilla entdeckt, welche die genutzten Zugangsdaten heimlich an einen deutschen Server übertragen. Die Fälschungen sind kaum vom Original zu unterscheiden und voll funktionsfähig.

Laut Avast werden die trojanisierten Ausgaben der FileZilla-Versionen 3.7.3 und 3.5.3 über Download-Seiten verbreitet, die optisch an die Herstellerseite angelehnt sind und auf gehackten Servern platziert wurden. Die Entwickler der trojanisierten Fassungen haben sich große Mühe gegeben, nicht aufzufallen: Genau wie das Original installieren sich die Malware-Zwillinge mit dem Nullsoft-Installer, ferner bietet sie alle von FileZilla bekannten Funktionen. Die Spionagefunktionen wurden direkt in das Binary eingebaut.

Die Malware-Versionen unterscheiden sich nur in kleinen Details vom Original: Sie wurden offenbar mit einer älteren Version von GnuTLS kompiliert, nämlich 2.8.6 statt 3.1.11. Dies zeigt FileZilla auch wahrheitsgemäß unter “Hilfe”, “Über…” an. Dort findet sich bei einer Fälschung eine ältere SQLite-Version, bei einer anderen Variante fehlt diese Angabe ganz.

Nutzt man die Schadsoftware, überträgt Sie gesichtete Zugangsdaten per HTTP an einen Server, der laut Avast bei dem deutschen Hoster Hetzner steht. Er ist über drei russische Domains (.ru) erreichbar. Bei einem Test am Dienstagnachmittag hielten nur sieben der 50 bei VirusTotal vertretenen Virenscanner das Installationsprogramm der verseuchten Version 3.7.3 für schädlich.
[Quelle: Heise Online ]

Tausende Online-Shops auf Basis von xt:Commerce akut bedroht

Die Shop-Software xt:Commerce 3 und deren Ableger wie Gambio und Modified enthalten zwei Fehler, die es in Kombination erlauben, Shops komplett zu übernehmen. Ersten groben Schätzungen zufolge wird die Software ungefähr 50.000 Shops eingesetzt. Zum Glück gibt es Workarounds und Patches, um sich zu schützen.

Entdeckt wurde die Lücke von den Entwicklern von Gambio, die das Problem selbst als kritisch einstufen und deshalb alle ihre registrierten Shop-Betreiber bereits informiert haben. Die Lücken wurde bei internen Tests von Gambio entdeckt; deshalb gehen die Entwickler davon aus, dass sie derzeit noch nicht aktiv ausgenutzt werden – was sich aber jetzt sehr schnell ändern dürfte.

Es handelt sich bei den Lücken um ein persistentes XSS und eine CSRF-Problem. Richtig ausgenutzt, kann ein Angreifer damit den Admin-Zugang des Shops kapern, wie Gambio heise Security glaubhaft demonstrieren konnte. Zum Glück lässt sich das Problem nicht vollautomatisch ausnutzen; dass der rechtmäßige Eigentümer zunächst seine Admin-Seiten aufrufen muss, beschränkt die mögliche Ausbreitung ein wenig.

Betroffen sind xt:Commerce bis Version 3.04 SP2.1, Gambio bis v2.0.13.3, Modified (alle Versionen) und eventuell weitere xt:Commerce-Weiterentwicklungen. Der Hersteller von xt:Commerce ist bereits informiert; eine Stellungnahme, ob auch Version Veyton 4 betroffen ist und ob es einen offiziellen Patch geben wird, steht derzeit noch aus.

Reagiert haben bereits Gambio und Modified. Die Gambio-Entwickler stellen außerdem auch einen inoffiziellen Patch für xt:Commerce 3 bereit, der lediglich eine Datei betrifft, also leicht zu installieren ist (und auch wieder zu entfernen). Bis zum Einspielen eines Patches sollten Admins unbedingt einen Bogen um die Seite “Wer ist Online” machen.

Mario Zanier, CEO von xt:Commerce, erklärte gegenüber heise Security, dass Version 4 aufgrund komplett neuer Codebase nicht von diesem Problem betroffen sei. Einen Patch für Version 3 wird es wohl nicht geben. “xt:Commerce 3 ist seit 2008 End of Life und ohne Herstellersupport” erklärte Zanier und rät betroffenen Nutzern “ein Update auf das das aktuelle xt:Commerce 4.1.0 Version durchzuführen.” (ju)
[Quelle: Heise Security ]

Systematische Angriffe auf PHP-Lücke

Mehrere Leser berichten über Versuche, Web-Server mit PHP zu kapern. Dabei kommt offenbar ein kürzlich veröffentlichter Exploit zum Einsatz, der eine Lücke in PHP 5 ausnutzt. Die ist zwar seit Mitte letzten Jahres bekannt und seit PHP Version 5.3.12 und 5.4.2 gefixt. Doch offenbar gibt es immer noch anfällige Server.

Die Angriffe nutzen ein Problem aus, das nur zum Tragen kommt, wenn PHP im CGI-Modus betrieben wird (CVE-2012-1823). Der Angreifer kann dabei dem PHP-Interpreter über die aufrufende URL direkt Kommandozeilenparameter übergeben und damit dann auch Code einschleusen und ausführen lassen. Der aktuelle Exploit von Kingcope nutzt dies, um dem Angreifer eine Shell auf dem Server bereit zu stellen.

In den Log-Dateien des Heise-Servers finden sich reihenweise Einträge wie:

212.62.X.Y - - [04/Nov/2013:15:16:53 +0100] "POST /cgi-bin/php5?%2D%64+%61%6C%6C .."

die auf einen Angriffsversuch hindeuten. Dass dabei verschiedene User-Agent-Strings zum Einsatz kommen, deutet auf verschiedene Variationen des Exploits hin. Wer also noch ungepatchte Web-Server mit PHP betreibt, sollte diese jetzt dringend aktualisieren, bevor er Besuch bekommt. Die aktuelle PHP-Version von Ubuntu 12.04 LTS lautet zwar immer noch 5.3.10, wurde aber durch einen Backport des Patches gesichert; analoges gilt für Debian. Das Einspielen der jeweils aktuellen PHP-Pakete einer noch gepflegten Distribution sollte also genügen.[Quelle: http://www.heise.de]

NSA-Affäre: Deutschland und Brasilien bringen UN-Resolution ein

Angesichts der Abhör-Affäre um das Handy von Bundeskanzlerin Angela Merkel (CDU) will Deutschland noch diese Woche bei den Vereinten Nationen eine Resolution gegen das Ausspähen von elektronischer Kommunikation einbringen. Der Entwurf liegt dpa vor. Darin werden alle Staaten aufgefordert, Gesetzgebung und Praxis bei Überwachungsaktionen im Ausland auf den Prüfstand zu stellen. Wörtlich heißt es: “Die gleichen Rechte, die Menschen offline haben, müssen auch online geschützt werden – vor allem das Recht auf Privatheit.”

Der Text wurde zusammen mit Brasilien ausgearbeitet, dessen Präsidentin Dilma Rousseff ebenfalls vom US-Geheimdienst NSA bespitzelt wurde. Der amtierende Bundesaußenminister Guido Westerwelle (FDP) sagte gegenüber dpa: “Ein effektiver Schutz der Privatsphäre lässt sich nur global erreichen. Ich setze auf ein breites Bündnis der Staatengemeinschaft für den Schutz der Privatsphäre.” In der UN-Vollversammlung mit den insgesamt 193 Mitgliedsstaaten dürfte es dafür eine klare Mehrheit geben.

Der Entwurf geht nun zunächst an den zuständigen Menschenrechtsausschuss, der im November darüber beraten wird. Einen Termin für die Abstimmung in der Vollversammlung gibt es noch nicht. Solche Resolutionen haben keine bindende Wirkung, aber starken symbolischen Charakter. An dem Text wurde bereits gearbeitet, bevor die Bespitzelung von Merkels Handy vor einer Woche bekannt wurde. Die USA werden darin nicht namentlich erwähnt. Die Zielrichtung der deutsch-brasilianischen Initiative ist jedoch klar. Weiter heißt es darin, die Maßnahmen zur Bekämpfung des Terrorismus müssten im Einklang mit dem Völkerrecht stehen. Die illegale Überwachung von privater Kommunikation und das illegale Sammeln von Daten bedrohten die Grundlagen einer demokratischen Gesellschaft. Die Resolution soll den Titel “Das Recht auf Privatheit im digitalen Zeitalter” tragen.

Die Vereinten Nationen verfügen bereits über einen sogenannten Zivilpakt, in dem bürgerliche und politische Rechte festgeschrieben sind. Damit werden “willkürliche oder illegale Eingriffe in die Privatsphäre, die Familie, die Wohnstätte oder den Briefverkehr” eigentlich untersagt. Aus deutschen Regierungskreisen hieß es jedoch: “Die Entwicklungen der vergangenen Wochen haben gezeigt, dass gegen diese Regeln insbesondere im digitalen Raum systematisch verstoßen wird.” Die Resolution soll den Zivilpakt nun ergänzen. [Quelle: http://www.heise.de ]

Verschlüsselungssoftware TrueCrypt: Ein Zweifel weniger

Ein gut dokumentierter Versuch, die vom TrueCrypt-Projekt angebotenen Binärdateien für Windows aus dem öffentlichen Quellcode nachzubauen, zeigt: die Binaries stimmen mit den Quellen überein. Ob das Verschlüsselungs-Tool sicher ist, müssen weitere Analysen des Quelltextes zeigen. Aber zumindest ist jetzt klar, dass die vom Projekt zum Download angebotenen Dateien keine Hintertür enthalten, die nicht auch im Quelltext zu finden wäre.

In der Dokumentation seines Versuches zeigt Xavier de Carné de Carnavalet, Master-Student an der kanadischen Concordia-Universität, wie akribisch man vorgehen muss, um den Quellcode in Binärdateien zu übersetzen, die mit den offiziellen Downloads des Projektes übereinstimmen. Die beim Herunterladen der Quellen mitgelieferte Readme-Datei gibt zwar genau die Versionen der Werkzeuge an, die man zum kompilieren benötigt, aber um am Ende wirklich zum selben Ergebnis zu kommen wie das TrueCrypt-Projekt, muss man noch mehr beachten. So müssen auch genau die richtigen Sicherheitsupdates für Visual Studio installiert sein. Dies ist natürlich nur dann erforderlich, wenn man wie de Carné de Carnavalet im Rahmen einer Sicherheitsanalyse nachvollziehen will, ob die öffentlichen Binaries mit den Quellen übereinstimmen. Vertraut man auf sein Ergebnis, kann man TrueCrypt auch mit weniger Aufwand selbst übersetzen.

Unter anderem benötigte der Student Visual C++ 1.52 aus dem Jahre 1994. Des weiteren musste er eine spezielle Version des Tools dd ausfindig machen, obwohl dieses in der Readme-Datei gar nicht erwähnt wurde. Um anschließend auch wirklich vergleichbaren Binärcode zu erhalten, muss man ebenfalls die richtigen Sicherheitsupdates für Visual Studio 2008 einspielen. Das heißt alle, die bei Erscheinen der aktuellen TrueCrypt-Version (7.1a) verfügbar waren. Updates die später veröffentlicht wurden dürfen folglich nicht installiert werden.

Alle diese Schritte erläutert de Carné de Carnavalet sehr detailliert. Anschließend stellt er sein Kompilierungsprotokoll zur Verfügung und erklärt die Unterschiede zwischen seinem Ergebnis und den offiziellen Binaries der TrueCrypt-Entwickler. Diese Unterschiede ergeben sich hauptsächlich durch unterschiedliche Zeitstempel und GUIDs die natürlich nicht mit dem Rechner der Entwickler identisch sein können. Nach dem Dekompilieren der beiden Dateisätze erreichte der Student dann auch eine komplette Übereinstimmung seiner Dateien mit denen des TrueCrypt-Projektes. Am Ende kommt er zu dem Schluss, dass die offiziellen Binärdateien funktionell mit dem Quellcode übereinstimmen, also keine zusätzliche Hintertür enthalten.

Die Untersuchung beantwortet einen Teil der Fragen, welche die Initiatoren der IsTrueCryptAuditedYet?-Kampagne gestellt hatten. Jetzt bleibt noch eine weitere Untersuchung des eigentlichen Quelltextes auf Hintertüren. Die regelmäßige Notwendigkeit einer solchen Untersuchung unterscheidet TrueCrypt allerdings nicht von anderen sicherheitsrelevanten Open-Source-Projekten. Zumal der Quellcode des Programms schon jetzt als relativ gut untersucht gilt.

[Quelle: http://www.heise.de/security/ ]

Exploit für ungepatchte Internet-Explorer-Lücke

Internet-Explorer-Nutzer aufgepasst: Das Waffenarsenal des Angriffsframeworks Metasploit wurde um ein Modul ergänzt, das die kritische Zero-Day-Lücke im IE ausnutzen kann. Somit kann sich nun jedermann eine passende Exploit-Webseite zusammenbauen. Das Modul ie_setmousecapture_uaf entstand, nachdem ein Sicherheitsforscher den Angriffscode mit dem JavaScript-Deobfuscator jsunpack untersucht hatte, wodurch der Code in das öffentlich zugänglich Archiv des Dienstes aufgenommen wurde.

Das Metasploit-Modul kann in der derzeitigen Form Windows-7-Systeme angreifen, auf denen der Internet Explorer 9 sowie Office 2007 oder 2010 installiert ist. Office wird benötigt, da der Exploit Code-Fragemente aus dem Help Data Services Module (hxds.dll) von Office recycelt, um die Schutzmechanismen Data Execution Prevention (DEP) sowie Address Space Layout Randomization (ASLR) zu umgehen. Bei der Lücke handelt es sich um einen sogenannten Use-After-Free-Fehler, also einen Zugriff auf einen freigegebenen Speicherbereich. Sie klafft in der Funktion mshtml!CDoc::SetMouseCapture.

Da die Schwachstelle grundsätzlich die IE-Versionen 6 bis 11 betrifft, ist es nur eine Frage der Zeit, bis auch für die übrigen Ausgaben passende Exploits in Umlauf gebracht werden. Wer den Internet Explorer nutzt, sollte daher umgehend das von Microsoft bereitgestellte Fix-it-Tool installieren, das die Lücke provisorisch abdichtet. Einen vollwertigen Patch, der dann auch automatisch über Windows Update verteilt wird, soll am Oktober-Patchday – also Dienstag, den 8. Oktober – veröffentlicht werden. Wer seinen IE hingegen nicht absichert, riskiert, dass sein System beim Surfen mit Schadcode infiziert wird.
[Quelle: http://www.heise.de/security/ ]

Hallo Welt!

Willkommen zur deutschen Version von WordPress. Dies ist der erste Beitrag. Sie können ihn bearbeiten oder löschen. Um Spam zu vermeiden, gehen Sie doch gleich mal in den Pluginbereich und aktivieren die entsprechenden Plugins.