Tag-Archive for » Angreifer «

Veraltete WordPress-Plugins locken Hacker an

WordpressHacksDie Sicherheitsfirma Sucuri hat im ersten Quartal dieses Jahres mehr als 11.000 kompromittierte Internetseiten untersucht. Aus ihrem Bericht geht hervor, dass häufig  erweiterbare Komponenten von CMS den Angreifern als Einfallstor dienen.

Mehr als 1 Milliarde Internetseiten auf CMS-Basis

Zurzeit sind über eine Milliarde Internetseiten aufrufbar, und hinter mehr als einem Drittel von ihnen stehen die Content-Management-Systeme (CMS) WordPress, Joomla, Drupal und Magento.

Von diesen CMS hat WordPress einen Marktanteil von über 60 Prozent, was auch auf seine durch Themes und Plugins vielfach erweiterbare Plattform zurückzuführen ist.

Bei WordPress fanden die Sucuri-Sicherheitsforscher auf jeder vierten der gehackten Seiten veraltete und anfällige Versionen der Plugins RevSlider, GravityForms und TimThumb.

Die untersuchten Hackerangriffe hatten jedoch kaum etwas mit der Kernanwendung des CMS zu tun, sondern mehr mit unsachgemäßer Installation, Konfiguration und Wartung durch Administratoren oder Hoster.

Die Infektionsursachen

Die häufigste Ursache von Infektionen waren Schwachstellen in den Erweiterungs-Komponenten i.e. Plugins, Erweiterungen, Module, Templates, Themes und ähnlichen Komponenten

Obwohl schon lange automatische Updates möglich sind, waren 56 Prozent aller infizierten WordPress-Sites nicht auf dem aktuellen Stand. Das ist im Vergleich zu den anderen Plattformen noch ein guter Wert, denn Joomla war zu 84 Prozent veraltet, Drupal zu 81 Prozent und Magento sogar zu 96 Prozent!

Ursachen für die mangelhaften Updatestände sind stark angepasste Installationen, Probleme mit der Rückwärtskompatibilität und last not least fehlende Mitarbeiter mit der notwendigen Kompetenz…

Auf 66 Prozent aller kompromittierten Installationen fand Sucuri eine PHP-basierte Backdoor. Durch diese Hintertüren konnten sich Angreifer über einen längeren Zeitraum nach der Infektion den Zugang sichern.

Diese Backdoors können auch die hohe Quote erneuter Infektionen, die nach Googles Webmaster-Tool bei satten 30 Prozent liegt, verständlich machen.

Adobe patcht 25 Flash-Sicherheitslücken

flash-playerWie schon angekündigt hat Adobe jetzt ein Sicherheitsupdate für seinen Flash Player herausgegeben. Der Patch stopft insgesamt 25 Sicherheitslücken, die Adobe als kritisch einstuft. Dazu gehört unter anderem auch eine Zero Day-Lücke, die aktuell schon aktiv für Angriffe benutzt wird.

Von dem Problem sind alle aktuellen Flash-Versionen inklusive der in den Browsern Chrome, Internet Explorer 11 und Edge eingebundenen Plug-ins betroffen.

Laut einem Sicherheitsbulletin können Angreifer durch diese Lücken Schadcode einschleusen und ausführen. So ist es unter Umständen durchaus möglich, die komplette Kontrolle über ein solches System zu übernehmen.

Die Benutzer sollten so schnell wie möglich die fehlerbereinigten Versionen 21.0.0.242 oder 18.0.0.352 für Windows und OS X und 11.2.202.621 für Linux installieren, die Adobe über die integrierte Update-Funktion und über das Flash Player Download Center bereitgestellt hat.

Die nötigen Patches für die Microsoft-Browser IE 11 und Edge sind schon seit Dienstagabend online. Auch Google hat gestern ein Update für Chrome 50 bereitgestellt, das schon die aktuelle Flash-Player-Version enthält.

Im Grunde neigt sich die Zeit des proprietären Flash, das immer wieder neue Sicherheitsprobleme erzeugt, ihrem Ende zu, denn Flash wurde inzwischen weitestgehend vom Internet-Standard HTML 5 abgelöst.

Sicherheitsupdates für aktive PHP-Versionen

Die PHP-Versionen 5.5, 5.6 und 7.0 sind über zwei Sicherheitslücken verwundbar. Angreifer können diese Installationen aus der Ferne attackieren, Speicherfehler auslösen und dann eigenen Code auf diese Systeme übertragen und ausführen.

Diese zwei Schwachstellen wurden in den jetzt zum Download bereitstehenden Versionen PHP 5.5.35, 5.6.21 und 7.0.6 geschlossen. Die dazugehörigen Windows-Binaries finden Sie auf dieser Webseite.

Sicherheitslücken und Exploits

Die Sicherheitslücke CVE-2016-3078 betrifft alle PHP-Versionen vor 7.0.6. Nutzen die Angreifer diese Schwachstelle aus, dann können sie über ein dafür präpariertes Zip-Archiv einen Speicherfehler hervorrufen und dann eigenen Code auf dem Rechner ausführen.

Die zweite Schwachstelle mit der Kennung CVE-2016-3074 steckt in der Bild-Bibliothek libgd 2.1.1, die seit PHP 4.3 bei der Default-Installation standardmäßig auf den Rechner kommt. Um über diese Schwachstelle einen Speicherfehler auszulösen, müssen die Angreifer dem Opfer komprimierte gd2-Daten unterjubeln. Danach können sie das System entweder crashen oder darauf sogar Schadcode ausführen.

Das Ende von PHP 5.5

AchtungBei dieser Gelegenheit möchte ich darauf hinweisen, daß der Support der Entwickler für die PHP-Version 5.5 schon am 10. Juli 2015 endete.

Sicherheitsupdates gibt es für PHP 5.5 jetzt noch bis zum 10. Juli 2016 – in 2 Monaten sollte man also im eigenen Interesse auf die neueren Zweige 5.6 (Sicherheitsupdates bis 28. August 2017) oder noch besser auf PHP 7.0 (aktuellste Version) upgraden.

Sicherheitsupdate für CMS Drupal

Ersteller und Administratoren von Webseiten, die mit dem Content Management System (CMS) Drupal aufgebaut sind, sollten jetzt dringend die CMS-Software aktualisieren.

Das soeben veröffentlichte Sicherheitsupdate für die Drupal-Versionen 6,7 und 8 beseitigt insgesamt 10 Sicherheitslücken in den Kernroutinen des CMS (SA-CORE-2016-001). Eine der Lücken wurde als „kritisch“ eingestuft, sechs davon wurden in die zweithöchsten Priorität „moderat kritisch“ eingeordnet.

Die Probleme gehen auf diverse Bugs in der Software zurück. Das geht von Schwachstellen beim Upload von Dateien und über defekte APIs bis hin zu Lücken, die es Angreifern erlauben, mit Phishing-Attacken Besucher einer Seite auf bösartige andere Internetseiten ihrer Wahl weiterzuleiten.

Die genannte kritische Lücke ist im Grunde ein Programmierfehler, der einem Nutzer in einem Webformular Buttons anzeigt, die der auf Grund seiner Rechte eigentlich gar nicht sehen (und vor allem nicht benutzen) dürfte. So können normale Benutzer plötzlich Admin-Rechte bekommen.

Wer immer noch Drupal 6 einsetzt, sollten sein Systemauf Version 6.38 aktualisieren, Drupal-7-Nutzer sollten Version 7.43 herunterladen. Wer die neueste Drupal-Version benutzt, braucht das Update auf Version 8.0.4.

Dieser Sicherheitsupdate markiert jetzt auch das Ende von Drupal 6 bzw. seines Support-Zyklus – weitere Updates für die 6er-Schiene wird es danach nicht mehr geben.

Erste Patches für die Glibc-Sicherheitslücke

linuxNahezu genauso verbreitet wie das Betriebssystem Linux selbst ist leider auch die Sicherheitslücke mit dem Bezeichner CVE-2015-7547, allgemein als glibc-Lücke bekannt.

Inzwischen haben mehrere Hersteller reagiert und dazu Sicherheits-Updates herausgegeben, die die Schwachstelle in den Netzwerkfunktionen der glibc schließen.

Durch diese Lücke können Angreifer Linux-Systeme aus der Ferne mit Hilfe von speziell präparierte DNS-Paketen übernehmen.

Bei Zyxel gibt es zum Beispiel ein Hotfix für die VPN-Firewalls der ZyWALL-Serie, für die Unified Security Gateways und für die Small Business Gateways. Der Patch soll aktuell schon über den ZyXEL-Support erhältlich sein, nächste Woche sollen dann abgesicherte Firmwareupdates folgen.

Weitere Details zu den Reaktionen weiterer Hersteller wie Citrix oder VMWare finden Sie in einem aktuellen Artikel bei Heise.

Sicherheitsupdates für Adobes ColdFusion

ColdFusionWer als Seitenbauer ColdFusion von Adobe benutzt, sollte dringend die neuesten Sicherheitsupdates einspielen, denn die Seitenbaukästen ColdFusion 10 bis zum Update 17 und ColdFuison 11 bis zum Update 6 sind auf allen verfügbaren Plattformen verwundbar.

Potentielle Angreifer können sogar zwei Lücken (CVE-2015-8052 und CVE-2015-8053) für ihre XSS-Attacken benutzen. Update 7 und Update 18 stehen jetzt zum Download bei Adobe bereit.

Adobe empfiehlt Benutzern seiner Software, diese dafür bereitgestellten Sicherheitsupdates bald einzuspielen. Eine akute Bedrohung soll aber derzeit noch nicht gegeben sein. Eine andere Sicherheitslücke (CVE-2015-5255) gibt es auch in BlazeDS. Sie wird durch diese Updates ebenfalls geschlossen. Darüber hinaus legt Adobe seinen Kunden ans Herz, die Sicherheitshinweise für ColdFusion zu befolgen.

Sicherheitsupdates für libpng

LibPngSchlechte Nachrichten für Entwickler, die die beliebte freie Programmbibliotheklibpng zur Verarbeitung von PNG-Grafiken nutzen. Die Bibliothek ist verwundbar, denn über die Sicherheitslücke CVE-2015-8126 könnten Angreifer die Versionen bis 1.0.63, 1.2.53, 1.4.16, 1.5.23 und 1.6.18 attackieren und Programme über DoS-Attacken abstürzen lassen. Abgedichtete Versionen sind auf der Projektseite schon verfügbar.

Die Angriffe sollen nach Angaben der Entwickler über einen Pufferüberlauf möglich sein. Dabei überprüfe libpng PNG-Dateien mit einer geringeren Bittiefe als acht nicht wirklich korrekt. Der Exploit dazu soll vergleichsweise einfach zu nutzen sein. Über gezielte Angriffe ist derzeit aber noch nichts bekannt.

SQL-Injection-Lücke in xt:Commerce

xtCommerceSQL-InjectionDie Shop-Software xt:Commerce weist eine Sicherheitslücke auf, die sich zum Einschleusen von SQL-Befehlen ausnutzen lässt, schreiben die Entwickler in ihrem Blog.

Es soll angeblich noch keine Hinweise  darauf geben, dass die Lücke schon aktiv von Kriminellen genutzt wurde. Die inzwischen von den xt:Commerce-Entwicklern bereitgestellten fehlerbereinigten Versionen  4.2.00, 4.1.10 und 4.1.00 beseitigen das Problem.

Wer also Online-Shops mit xt:Commerce betreibt oder verwaltet, sollte möglichst umgehend auf eine dieser aktuellen Versionen umsteigen. Denn jetzt können kriminelle Angreifer ja durch Vergleich einer verwundbaren und einer abgesicherten Version der in PHP geschriebenen Software für ihre kriminellen Zwecke wertvolle Einzelheiten über die SQL-Injection-Lücke herausfinden…

Online-Shops mit xt:Commerce sind akut gefährdet

Zehntausende von Online-Shops haben ein Problem: Die Shopsoftware xt:Commerce 3 und deren Forks wie Gambio und Modified haben zwei Schwachstellen, die es zusammen Angreifern gestatten, Shops komplett zu übernehmen.

Nach ersten groben Schätzungen wird die Software in ungefähr 50.000 Shops genutzt. Es gibt allerdings schon Workarounds und Patches, um sich dagegen zu schützen.

Entdeckt wurde die Lücke von Gambio-Entwicklern, die das Problem selbst als kritisch einstuften und alle ihre registrierten Shopbetreiber schon informierten. Die Lücken wurden bei internen Tests entdeckt. Deshalb nehmen die Entwickler an, dass sie aktuell noch nicht aktiv ausgenutzt werden. Das könnte sich aber nach dem Bekanntwerden jetzt sehr schnell ändern.

Es handelt sich bei den Sicherheitslücken um ein persistentes XSS (Cross Site Scripting)- und ein CSRF (Cross Site Request Forgery)-Problem. Richtig ausgenutzt, können Angreifer damit den Admin-Zugang des Shops übernehmen. Betroffen sind davon xt:Commerce bis Version 3.04 SP2.1, Gambio bis v2.0.13.3, Modified (alle Versionen) und möglicherweise noch weitere xt:Commerce-Weiterentwicklungen.

Eine BSI-Studie zu WordPress, Drupal, Typo 3 & Co.

bsi_studie-361405125c31f4eaDie Sicherheit von Web-CMS-Lösungen wie Drupal, Joomla!, Plone, Typo3 und WordPress hat das Bundesamts für Sicherheit in der Informationstechnik (BSI) in einer Studie untersucht. Diese CMS werden gerne zur Erstellung von Homepages benutzt, weil sie nichts kosten.

Gerade solche weit verbreiteten können für Angreifer das erste Ziel  bei dem Versuch sein, in das interne Netz eines Unternehmens einzudringen.

Hinzu kommt, dass diese Systeme häufig ohne weitere Anpassungen installiert und benutzt werden, so dass eine neu gefundene Schwachstelle auf einen Schlag viele Internetseiten gleichzeitig gefährdet.

Weiter Details und Erläuterungen dazu finden Sie auch bei Heise.