Drücke die Tasten ◄ ► für weitere Artikel  

OS Commerce: Hunderte Shops schon durch Sicherheitslücke infiziert

Eine Sicherheitslücke bedroht aktuell Online-Shops mit dem Open Source Shopsystem OS Commerce. Seit zwei Tagen laufen massive Angriffe auf OS Commerce-Shops und nach Informationen des Branchenverlags iBusiness waren bis gestern schon fast 300 Shops in Deutschland betroffen. Die Infizierung führt zur Weiterreichung einer Malware an alle Besucher des Shops und zeigt sich dem Shopbetreiber an verschiedenen Stellen. Einen Patch gibt es bisher nicht.

OS Commerce: Hunderte Shops schon durch Sicherheitslücke infiziert

Infizierte OS Commerce-Shops verbreiten Malware

Die wurde nach Angaben von iBusiness in der Nacht zum Mittwoch entdeckt und sorgte bis Mittwoch Mittag schon für 293 infizierte deutsche Onlineshops. Wie sehr sich die Infektion bis jetzt ausgebreitet hat, ist dagegen unklar. Identifizieren kann man betroffene Shops meist durch einen in den Titel-Tag eingefügten iFrame. In einigen Fällen wurde der Schadcode aber auch an anderen Stellen entdeckt.

So sieht der iFrame aus, der sich in den Titel-Tag von OS Commerce Shops einnistet (Bild: Armorize).

Da momentan noch völlig unklar ist, wie der Schadcode in die Shop-Installationen gelangt, konnte die Sicherheitslücke bislang auch noch nicht durch einen Patch beseitigt werden. Vermutet wird allerdings eine SQL-Injection, so der OS-Commerce-Experte Ramos Peter Strzygowski zu iBusiness. Er vermutet ebenfalls, dass verwandte Shopsysteme wie Zen-Cart ebenfalls von der Sicherheitslücke betroffen sind.

Ob ein Shop betroffen ist, zeigt sich meist im Quellcode durch verdächtige iFrames. Shopbetreiber sollten beim Besuch des eigenen Shops zuerst JavaScript im Browser deaktivieren, um nicht auch noch den Client zu infizieren.

Video zeigt Infizierung eines OS Commerce Shops

Im Blog der Sicherheitsexperten von Armorize wurde neben einigen Screenshots von betroffenen Shops auch ein Video veröffentlicht, in dem der Infizierungsprozess gezeigt wird.

Weiterführende Links zur Sicherheitslücke bei OS Commerce:

Bildnachweis für die Newsübersicht: Foto: lamoix / flickr.com, Lizenz: CC-BY-SA

92 Shares bis jetzt – Dankeschön!

Bewerten
VN:F [1.9.22_1171]
25 Antworten
  1. von ska am 28.07.2011 (17:46Uhr)

    Nicht seit zwei Tagen, sondern seit 2 Jahren laufen diese Angriffe. Die sehr wahrscheinlich genutzte Lücke ist schon lange bekannt
    http://forums.oscommerce.de/index.php?showtopic=70425

    und wird auch schon lange ausgenutzt. Seit einigen Monaten verstärkt. Nahezu jeder Domainbesitzer wird automatisierte URL-Aufrufe in den Serverlogs finden. z.b. admin/file_manager.php/login.php

    Leider kümmern sich meiner Erfahrung nach viele Shop/Website-Betreiber nicht um aktuelle Software bzw verfolgen die entsprechenden Diskussionen nicht.

  2. von Take me to auction » Aktuell: Mass… am 28.07.2011 (17:52Uhr)

    [...] Seite sollten Sie Javascript im Browser deaktivieren, um Ihr eigenes System zu schützen. Auf t3n sehen Sie Screenshots, wie der iFrame aussieht, der sich in den Titel-Tag von OS Commerce Shops [...]

  3. von Tim Kraut am 28.07.2011 (18:35Uhr)

    @ska:
    Ich könnte mir auch gut vorstellen, dass viele einfach nicht wissen, dass so etwas wichtig ist. Die lassen sich das System einmal einrichten und dann wird da solange nichts dran gemacht, bis irgendwas passiert.
    Unter Windows war das mit Conficker doch nichts anderes... und dafür gab es sogar ein Update.

  4. von Jens Müller-Blech via facebook am 28.07.2011 (18:43Uhr)

    Es ist jetzt halb sieben. Ich habe einfach mal das aus dem Video gemacht und Google abgefragt. Im Video waren es ja nur 91.000 Ergebnisse bei google.com. Jetzt bei google.de sind es schon 316.000 Ergebnisse. Google warnt aber noch nicht bei allen Ergebnissen. Wer das prüfen will kann das tun. Aber klickt nicht auf die Suchergebnisse!!!

  5. von Tim Off via facebook am 28.07.2011 (19:08Uhr)

    Bei mir im Android sinds nur 160000 ergebnisse

  6. von Rudi Rizzi via facebook am 28.07.2011 (19:26Uhr)

    xt:Commerce scheint momentan nicht betroffen zu sein, jedenfalls liefert Google keine Ergebnisse. Ob die Sicherheitslücke dort wirklich nicht vorhanden ist oder die Angreifer das international eher unbekannte xt:Commerce als potentielles Angriffsziel schlichtweg nicht auf dem Schirm haben, wird sich noch zeigen. Ich vermute eher letzteres.

  7. von Oliver Pludra via facebook am 28.07.2011 (19:30Uhr)

    Man sollte halt die finger von os commerce und ablegern lassen und was vernuenftiges waehlen. Oxid waere ne massnahme :-)

  8. von Jens Müller-Blech via facebook am 28.07.2011 (19:48Uhr)

    Auf Seite 6 hat google.de 649000 Ergebnisse angezeigt. Aber wie warnt man die Menschen, damit die sich beim Besuch des Onlineshops ihrer Wahl nicht unbeabsichtigt die Malware installieren?

  9. von Jens Müller-Blech via facebook am 28.07.2011 (19:52Uhr)

    Jetzt zeigt google.de die 649000 Ergebnisse auf Seite 1 an. Die Anzahl der Ergebnisse hängt natürlich auch davon ab auf welches Datacenter man gerade zugreift...

  10. von Boris am 28.07.2011 (20:03Uhr)

    Die Suche nach dem Schacodestring für die OsCommerce Sicherheitslücke bringt bei Google aktuell 389.000 Treffer: http://goo.gl/DE3Y4

  11. von ska am 28.07.2011 (20:38Uhr)

    @Oliver Pludra
    Mittlerweile gibt es gute Alternativen. Noch besser bzw notwendig wäre allerdings, das Shopsystem uptodate zu halten. Egal welches Shopsystem.

    Wer Hinweise hat, dass es sich nicht um die seit langem bekannte Sicherheitslücke handelt, möge sich hier melden
    http://forums.oscommerce.de/index.php?showtopic=79599

    Ansonsten wäre es gut, wenn nicht weitergeschrieben wird "dass es keinen Patch" gibt. Da schreibt ja offenbar der eine vom anderen ab.

  12. von Rudi Rizzi via facebook am 28.07.2011 (21:25Uhr)

    @Oliver Pudra - Man wird nur schwer ein Projekt dieser Größenordnung finden, dass frei von Sicherheitslücken ist. Auch Oxid nicht, lies dir diesbezüglich mal die ganzen Security Bulletins im Oxid-Wiki durch - geradezu ein Sammelrsurium aller möglichen Sicherheitslücken von DoS bis XSS :-)

  13. von » Nichts ist so erfolgreich wie ei… am 28.07.2011 (22:36Uhr)

    [...] ist so erfolgreich wie ein Bug, dessen Zeit gekommen ist. Zum Beispiel, wenn ein verbreiteter Webshop eine Sicherheitslücke hat, darüber massenhaft (offenbar automatisier.... Im Moment kann man sich also auf ansonsten seriösen Websites, die man vielleicht schon ein paar [...]

  14. von Jens Müller-Blech via facebook am 28.07.2011 (23:21Uhr)

    @Oliver Pludra, jedes System ist angreifbar. Egal ob Oxid, Magento etc. Es ist nur eine Frage der Zeit bis es passiert. Wichtig ist das man die Shop-Software aktuell hält, nur so kann man das Risiko eingrenzen.

  15. von Ein Tag ohne Drecksmail « Unser t… am 29.07.2011 (00:17Uhr)

    [...] ist wirklich erfreulich. Ich befürchte jedoch, dass es nicht so bleiben wird, denn die Kriminellen verwandeln zurzeit in einer großen Aktion wieder viele Rechner von Privatversionen in Bots für ihr.... Schade, denn es gibt kein Blog, das ich so gern „mangels Masse“ einstellen möchte, [...]

  16. von Aktuell: OS Commerce wurde gehackt | Onl… am 29.07.2011 (09:50Uhr)

    [...] um Malware an Shopbesucher zu verteilen – einen Patch gibt es bisher nicht. Details hat Golem und weitere Links [...]

  17. von Schnarfschütze am 29.07.2011 (11:32Uhr)

    Meine Gegenfrage lautet: wo sind denn Berichte über massenhafte Hacks von Magento oder anderen Shopsystemen? osCommerce ist halt leider uralt und so löchrig wie ein Schweitzer Käse, dass es sich für Defacement-Kampagnen anbietet. Und es ist ein Unterschied ob ich "theoretisch" mit viel Aufwand in einen Shop reinkomme, oder mit zusammenkopiertem Code der Marke Skript-Kid die Dinger reihenweise ohne großen Aufwand aufbrechen kann. Und so wird ein Schuh draus: im Vergleich zu osCommerce sind nahezu alle anderen Shopsysteme sicher.

  18. von osCommerce Shopbetreiber aufgepasst: Ber… am 29.07.2011 (12:14Uhr)

    [...] die T3N und andere Magazine berichten haben Shopbetreiber die auf osCommerce setzen mit einer Lücke zu kämpfen. Durch die Lücke lässt [...]

  19. von Patrick S. Stuckenberger via facebook am 29.07.2011 (12:52Uhr)

    @t3n: link zum exploit siehe email

  20. von Aktuelle Themen für Publisher und SEOs… am 29.07.2011 (15:52Uhr)

    [...] Shop Betreiber, die auf OS Commerce setzen, haben derzeit wenig zu Lachen. Eine Sicherheitslücke, die angeblich schon seit längerer Zeit existiert, wird seit einigen Tagen intensiv von Angreifern genutzt. Zunächst kursierten Gerüchte, dass die Ursache bzw. die Schwachstelle noch nicht bekannt sei und es daher auch einen Sicherheitspatch geben. Doch wie schon erwähnt wurde, ist die Sicherheitslücke bereits älter. [...]

  21. von Gregor Komauer am 29.07.2011 (18:21Uhr)

    Mann kann nur hoffen, das die Seiten nicht vom Google blacklisted werden.

  22. von ArtViper Designstudio via facebook am 29.07.2011 (21:43Uhr)

    Frage ist, ob nur OS oder auch XT davon betroffen ist? Als Derivat und Ableger sicher nicht so abwegig.

  23. von Patrick S. Stuckenberger via facebook am 30.07.2011 (14:12Uhr)

    mit dem beispiel code is xt commerce 3 ebenso betroffen

  24. von » osCommerce oder die Folgen unwis… am 04.08.2011 (17:11Uhr)

    [...]  OS Commerce: Hunderte Shops schon durch Sicherheitslücke infiziert t3n.de 28.07.2011 Akut starke und erfolgreiche Massenangriffe auf OS-Commerce-Shops shopanbieter.de [...]

  25. von shopTags » Sicherheitshinweise für Sho… am 27.08.2011 (07:25Uhr)

    [...] von osCommerce-Shops Ende Juli 2011 wurde sehr umfassend berichtet. Neben Heise, Gulli, t3n verwies auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Stellungnahme [...]

Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Sicherheitslücke
Drupal CMS: Updates schließen schwere Sicherheitslücken
Drupal CMS: Updates schließen schwere Sicherheitslücken

Updates sollen mehrere Sicherheitslücken in dem beliebten CMS Drupal schließen. Betroffen sind die Versionen 6 und 7. » weiterlesen

„If you can‘t hack it, you don‘t own it“ – Open-Source-Laptop sucht Unterstützer
„If you can‘t hack it, you don‘t own it“ – Open-Source-Laptop sucht Unterstützer

Mit dem Novena Open Laptop gibt es einen Rechner, dessen Komponenten fast vollständig unter einer Open-Source-Lizenz stehen. Eine erste Auflage soll durch Crowdfunding finanziert werden. » weiterlesen

Heartbleed: Was Nutzer, Entwickler und Seitenbetreiber über die SSL-Sicherheitslücke wissen müssen
Heartbleed: Was Nutzer, Entwickler und Seitenbetreiber über die SSL-Sicherheitslücke wissen müssen

Heartbleed ist in aller Munde, doch was ist das überhaupt genau – und wie kannst du dich davor schützen? In diesem Artikel beantworten wir diese Fragen, geben euch Links an die Hand und zeigen,... » weiterlesen

Kennst Du schon unser t3n Magazin?

t3n 35 jetzt kostenfrei probelesen! Alle Inhalte des t3n Magazins Diesen Hinweis verbergen