Neu E-Mail / WICHTIG: Sicherheitslücke in JTL-Shop 4 - Dringender Handlungsbedarf

[Peter Hagel]

Hallo,

wir arbeiten aktuell mit Hochdruck daran unsere Kunden "zu fixen". Haben entsprechen auch schon einige Kunden gefunden die diese angegriffen wurden.
Laut den Logs wurde über eine SQL Injection ein Admin Konto angelegt 5 Mal die admin/index.php via GET Request aufgerufen und danach das admin Konto wieder gelöscht.

@JTL ist hierzu schon etwas bekannt was potenziell im Shop abgegriffen werden konnte bzw. was für ein Schaden verursacht worden sein könnte?



Grüße
Peter

 

[lumbert]

Ganz wichtig: Nicht nur prüfen ob diese Tests im Log sind, sondern die Ip nehmen und dann das Log prüfen.

Es werden bei Ausnutzung auch PHP Schnipsel hochgeladen die Vollzugriff erlauben, als auch Zugriff aufs Backend geben (User werden via SQL Injection angelegt und wieder gelöscht).

Die Lücke wird ausgenutzt

 

[FPrüfer]

Wo ist dieses Access- Log?

Wo genau?

Ggf. werde ich dies dann auch tun. Lieber wäre mir im Moment allerdings eine schnelle Antwort hier.

Das "wo genau" ist leider bei jedem Hosting anders deshalb kann ich dir da leider nicht speziell sondern nur so allgemein antworten.

 

[LaLumex]

Hallo LaLumex,

der Newsletter wurde gestern gegen 17:30 Uhr versandt.
Unsere Kunden haben natürlich die Möglichkeit den Newsletter abzubestellen. Hast Du dies eventuell in der Vergangenheit gemacht? Dann erhältst Du keine Newsletter mehr von uns.

Herzliche Grüße
Diane

Hallo Diane,

nein, euer Newsletter vom Dienstag zur Wawi 1.6 Open Beta hat mich auch erreicht.
Scheint ja auch nicht nur bei mir zu sein, weiter oben hat sich noch jemand gemeldet, der den Newsletter nicht erhalten hat.

 

[FPrüfer]

*** WICHTIG ***
Bitte postet KEINE Auszüge aus euren Acces-Logs öffentlich! Aktuell ist es sehr kontraproduktiv die Angriffsmuster auch noch einfach öffentlich zugänglich zu machen!

 

[FPrüfer]

@JTL ist hierzu schon etwas bekannt was potenziell im Shop abgegriffen werden konnte bzw. was für ein Schaden verursacht worden sein könnte?

Wir arbeiten hier wirklich mit Hochdruck daran euch entsprechende Informationen bereit zu stellen. Bitte posted deshalb KEINE Logauszüge öffentlicht, damit nicht noch dumme Leute auf dumme Ideen kommen!

 

[Mark Schuepstuhl]

Hallo zusammen,

kurz zum Thema "Wieso habe ich keinen Newsletter erhalten": Solltet ihr keine Newsletter erhalten haben, prüft bitte einmal in eurem KC-Account, ob ihr für Newsletter angemeldet seid.

Sind dort Haken bei Punkten wie "Kritische Infos" gesetzt, kann es immer noch sein, dass ihr einen seltenen Ausnahmefall erwischt habt: Entweder ist in eurem KC-Kontaktaccount eine andere Mail-Adresse hinterlegt oder habt diese gewechselt. Dann gibt es immer noch mal SPAM-Stolpersteine beim jeweiligen eigenen Mail-Account, die ebenfalls den Empfang über Verteiler wie den unseren blockieren.

Und wie hier schon an einigen Stellen gesagt: Der Newsletter und sein Inhalt sind aus gutem Grund nicht im Forum gepostet worden. Wenn bei euch das Schloss an der Haustür defekt ist, unterhaltet ihr euch vermutlich auch nicht lautstark auf dem Marktplatz darüber, sondern weist die Mitbewohner des Hauses im Einzelnen drauf hin. Also bitte Vorsicht mit den Informationen. Es ist super, dass ihr euch hier gegenseitig unterstützt, aber im Idealfall macht ihr das bei diesem sensiblen Thema via PN.

 

[sah]

Die IP im Log führt nach Moskau, ob die Hacker einen sieben Jahren alten Mac benutzen ist wohl fraglich, wahrscheinlicher ist Spoofing ...

 

[TheOggy]

Für mich als Laie, wenn die zwei Befehle nicht in einer Zeile sondern in getrennten stehen, kann ich es vernachlässigen?

 

[Mark Schuepstuhl]

Hallo zusammen,

wir haben eben aktualisierte Infos zum Thema an unsere Shop-Kunden versendet. Ihr solltet die Mail als reinen Text erhalten haben, also anders als sonst im gelayouteten Stil. Alle Links darin stammen von uns, die Infos ebenfalls. Wichtig: Es gab gesonderte Infos für (die noch übrigen) Shop 3-Nutzer und Shop 4-Nutzer. Sollte euch also eine Mail erreicht haben, die deutlich textlastiger, aber weniger farbprächtig war: Ja, ist von uns und ja, sie enthält aktualisierte Infos. Bitte bedenkt auch diesmal, dass es nur bedingt sinnvoll ist, Inhalte daraus öffentlich zu teilen - unser Ziel ist es, wirklich nur gefährdete Kunden zu informieren. Den Fall "Gelegenheit macht Diebe" möchten wir so gut es geht weiterhin vermeiden.

 

[niro]

Habe gerade mal die Logs durchsucht, das war hier wohl der Intruder:

*** bearbeitet ***
*** Bitte posted KEINE Logauszüge öffentlich, damit nicht noch dumme Leute auf dumme Ideen kommen! ***

 

[niro]

Sorry!😔

 

[TheOggy]

Waren denn aber die Logs von Niro kritisch?

 

[niro]

Das hätte ich ja gerne gewusst.

 

[FPrüfer]

Solange nicht alle 4er Shops gepatched sind möchten wir nicht das die konkreten Angriffsmuster hier im Forum stehen und sie jeder D... rauskopieren und ausprobieren kann! Bitte habt dafür Verständnis!

 

[TheOggy]

Für mich als Laie, wenn die zwei Befehle nicht in einer Zeile sondern in getrennten stehen, kann ich es vernachlässigen?

deshalb hatte ich versucht durch die blume zu fragen, bevor ich mir weitere sorgen machen oder ein ticket aufmachen muss.

 

[FPrüfer]

Habe gerade mal die Logs durchsucht, das war hier wohl der Intruder:

Ja das war er, aber solange du da nur dieses sleep(x) stehen hast war es nur der Test auf Verwundbarkeit.

 

[maestro]

Ist das der Log, in dem normal IP / Zeitstempel / GET / ... steht?

 

[FPrüfer]

Ja

 

[LaLumex]

wir haben eben aktualisierte Infos zum Thema an unsere Shop-Kunden versendet. Ihr solltet die Mail als reinen Text erhalten haben, also anders als sonst im gelayouteten Stil. Alle Links darin stammen von uns, die Infos ebenfalls. Wichtig: Es gab gesonderte Infos für (die noch übrigen) Shop 3-Nutzer und Shop 4-Nutzer. Sollte euch also eine Mail erreicht haben, die deutlich textlastiger, aber weniger farbprächtig war: Ja, ist von uns und ja, sie enthält aktualisierte Infos. Bitte bedenkt auch diesmal, dass es nur bedingt sinnvoll ist, Inhalte daraus öffentlich zu teilen - unser Ziel ist es, wirklich nur gefährdete Kunden zu informieren. Den Fall "Gelegenheit macht Diebe" möchten wir so gut es geht weiterhin vermeiden.

Auch diesmal ist leider wieder nichts bei mir eingetroffen.
Newsletter ist nicht abbestellt, Haken bei "Kritische Infos" ist gesetzt, E-Mailadresse ist schon immer dieselbe und auch erreichbar. Am Dienstag bekam ich euren Newsletter noch...