Tag-Archive for » Hacker «

Joomla-Update schließt SQL-Injection-Lücke

Die Version 3.7.0 des Content-Management-Systems (CMS) Joomla weist eine SQL-Injection-Lücke auf, durch welche Hacker eigene Datenbankbefehle in das CMS einschleusen können. Solche Schwachstellen können üble Folgen haben: Ein Angreifer könnte beispielsweise den Inhalt der Seite manipulieren und auf diese Weise Schadcode einschleusen oder aber auf die Nutzerdaten zugreifen.

Die Sicherheitslücke steckt im Joomla Core und hat die CVE-Nummer CVE-2017-8917. Vom Joomla-Team wird das Sicherheitsproblem mit dem zweithöchsten Schweregrad “Hoch” bewertet. Joomla gibt aber bisher keine Details bekannt – vermutlich, um Benutzer der verwundbaren Version zu schützen.

Die abgesicherte Version 3.7.1, die sich auf der Projektseite herunterladen lässt, beseitigt das Problem. Wer eine betroffene Joomla-Installation betreibt, sollte deshalb so schnell wie möglich auf diese aktuelle Version umsteigen.

Denn nun, wo der Patch einmal herausgegeben ist, können potentielle Angreifer durch Vergleich von Version 3.7.0 und Version 3.7.1 leicht herausfinden, an welcher Stelle es zu der mangelnden Prüfung eingehender Daten kommt und dann diese Lücke auch für ihre Zwecke missbrauchen.

70 Millionen Dropbox-Zugangsdaten gestohlen

DropboxPawnedAnfang der Woche forderte der bei Internetschaffenden beliebte Cloud-Dienst Dropbox seine Nutzer angeblich rein vorsorglich zu einem Passwortwechsel auf, wenn ihr Zugangscode seit mindestens Mitte 2012 unverändert sein sollte, weil andernfalls ein unnötiges Sicherheitsrisiko bestehen würde.

Jetzt wissen wir auch, warum: Dropbox hat jetzt bestätigt, daß Hacker tatsächlich 68 Millionen Zugangsdaten von Kunden gestohlen haben. Nach Angaben von Patrick Heim, Head of Trust & Security bei Dropbox, stammen die Benutzernamen und Passwörter offensichtlich von Mitte 2012.

Dropbox-Accounts sind damit zwar geschützt, betroffene Nutzer, die ihr Passwort aber auch für andere Seiten nutzen, sollten entsprechende Schritte in die Wege leiten, um sich auch dort entsprechend zu schützen“, ergänzte Heim seine Information.

Über die Internetseite „Have I been pwned“ können Dropbox-Nutzer überprüfen, ob und in welchem Zusammenhang ihre Emailadresse und das entsprechende Passwort schon aufgetaucht sind.

Veraltete WordPress-Plugins locken Hacker an

WordpressHacksDie Sicherheitsfirma Sucuri hat im ersten Quartal dieses Jahres mehr als 11.000 kompromittierte Internetseiten untersucht. Aus ihrem Bericht geht hervor, dass häufig  erweiterbare Komponenten von CMS den Angreifern als Einfallstor dienen.

Mehr als 1 Milliarde Internetseiten auf CMS-Basis

Zurzeit sind über eine Milliarde Internetseiten aufrufbar, und hinter mehr als einem Drittel von ihnen stehen die Content-Management-Systeme (CMS) WordPress, Joomla, Drupal und Magento.

Von diesen CMS hat WordPress einen Marktanteil von über 60 Prozent, was auch auf seine durch Themes und Plugins vielfach erweiterbare Plattform zurückzuführen ist.

Bei WordPress fanden die Sucuri-Sicherheitsforscher auf jeder vierten der gehackten Seiten veraltete und anfällige Versionen der Plugins RevSlider, GravityForms und TimThumb.

Die untersuchten Hackerangriffe hatten jedoch kaum etwas mit der Kernanwendung des CMS zu tun, sondern mehr mit unsachgemäßer Installation, Konfiguration und Wartung durch Administratoren oder Hoster.

Die Infektionsursachen

Die häufigste Ursache von Infektionen waren Schwachstellen in den Erweiterungs-Komponenten i.e. Plugins, Erweiterungen, Module, Templates, Themes und ähnlichen Komponenten

Obwohl schon lange automatische Updates möglich sind, waren 56 Prozent aller infizierten WordPress-Sites nicht auf dem aktuellen Stand. Das ist im Vergleich zu den anderen Plattformen noch ein guter Wert, denn Joomla war zu 84 Prozent veraltet, Drupal zu 81 Prozent und Magento sogar zu 96 Prozent!

Ursachen für die mangelhaften Updatestände sind stark angepasste Installationen, Probleme mit der Rückwärtskompatibilität und last not least fehlende Mitarbeiter mit der notwendigen Kompetenz…

Auf 66 Prozent aller kompromittierten Installationen fand Sucuri eine PHP-basierte Backdoor. Durch diese Hintertüren konnten sich Angreifer über einen längeren Zeitraum nach der Infektion den Zugang sichern.

Diese Backdoors können auch die hohe Quote erneuter Infektionen, die nach Googles Webmaster-Tool bei satten 30 Prozent liegt, verständlich machen.

Sicherheitslücken im PHP File Manager

Das Programm PHP File Manager kann man für nur 5 Dollar kaufen. Man installiert es dann auf seinem Internetserver und kann danach beliebige Dateien zwischen seinem PC und dem Server einfach mit dem Browser austauschen.

Dummerweise können das alle anderen auch – vom Programmierer bis zum Hacker!

Weil es so bequem ist, nutzen offensichtlich auch viele große Unternehmen das Tool zum Dateitransfer. Dazu gehören beispielsweise Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern seitdem jedermann vertrauliche Dateien ohne Probleme herunterladen kann.

Denn in dem PHP-Skript PHP File Manager schlummern seit mindestens fünf Jahren mehrere kritische Sicherheitslücken, die der Hersteller kennt, aber einfach nicht schließt.

Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog jetzt aufmerksam. So soll es zum Beispiel durch zwei Lücken möglich sein, über das Skript ohne Authentifizierung Code auf den Server zu laden und auch auszuführen.

RevivedwirePHPFileManagerLoginDas Schärfste daran ist aber ein speziell versteckter Superuser mit dem Namen  ****__DO_NOT_REMOVE_THIS_ENTRY__****,  der in allen Installationen des File Managers dasselbe Passwort nutzt. Um es Hackern einfach zu machen, ist dies Passwort auch gleich als MD5-Hash im Script.

Hersteller Revivedwire hat den PHP File Manager inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider nicht finden, bitte überprüfen Sie die URL (ACTUALLY, WE COULDN’T FIND THE PAGE YOU REQUESTED. PLEASE CHECK THE URL.)“.

Ein Hinweis auf die Sicherheitslücken wäre nicht nur ehrlicher, sondern auch hilfreicher für die Kunden, die schließlich Geld für dies Programm bezahlt haben – auch wenn es nur 5 Dollar gekostet hat!

Für Chrome-Sicherheitslücken sind Pi Millionen Dollar ausgelobt

Vielleicht ist dieser mit Pi (3,14159) Millionen Dollar ausgelobte Wettbewerb etwas für den erfahrenen Webseitenbauer und –pfleger?

Google bietet Hackern im Rahmen seines Pwnium-Wettbewerbs, die Sicherheitslücken im Chrome OS finden, diese insgesamt gut 3 Millionen Dollar an.

Wer über eine manipulierte Webseite Zugriff auf einen Computer unter dem neuesten Chrome OS erreicht, kann je nach Variante des Hacks 110.000 oder sogar 150.000 Dollar einstreichen. Geführt werden die Angriffe gegen ein Chromebook S 550 von Samsung – man darf es aber auch an einer virtuellen Maschine zeigen.

DDoS-Angriffe werden für Kriminelle mit Javascript einfacher

Bisher wurden für DDoS-Angriffe auf Internetseiten entweder zentral über einen Kommandoserver gesteuerte Botnets oder aber DDoS-Programme wie das von Anonymous favorisierte Low Orbit Ion Cannon (LOIC), das jeder Mit-Angreifer vor dem Einsatz downloaden und dann die anzugreifende Adresse eingeben muss, eingesetzt.

Beim “Dankeschön” für die Abschaltung von Megaupload und die Verhaftung von Kim Schmitz in der letzten Woche nutzte die Hackergruppe eine neue Javascript-Variante für den DDoS-Angriff. Wer immer die entsprechend präparierte Seite aufrief, sendete damit massenweise http-Anfragen an den schon voreingestellten anzugreifenden Internetserver. Es können also auch Leute an dem Angriff teilnehmen, die sich dessen überhaupt nicht bewusst sind.

Diese Methode dürfte auch bald bei den immer häufigeren DDoS-Angriffen zur Erpressung von “Lösegeld” über Ucash auftauchen.

Category: Javascript  Tags: , , , , , ,  Comments off