Neu E-Mail / WICHTIG: Sicherheitslücke in JTL-Shop 4 - Dringender Handlungsbedarf

[FPrüfer]

deshalb hatte ich versucht durch die blume zu fragen, bevor ich mir weitere sorgen machen oder ein ticket aufmachen muss.

Ich hab dir per PN geantwortet.

 

[maestro]

Ja

Beispiel, clean:
xxx.xxx.xxx.xxx - - [31/Oct/2021:hh:mm:ss +0100] "GET /pfad HTTP/1.1" 200 Dateigröße "-" "System"

Statt "GET" sollte da dann eure beiden Befehle stehen? Sofern nur Zeilen mit "GET" drin sind, alles OK? Nicht mal ein Versuch?

 

[niro]

Ich hatte wohl auch das Glück das sich die Datenbank aufgehängt hat und der Shop dann nicht mehr erreichbar war. Wurde ja erst vom Hoster wieder in Gang gebracht.

 

[FPrüfer]

Beispiel, clean:
xxx.xxx.xxx.xxx - - [31/Oct/2021:hh:mm:ss +0100] "GET /pfad HTTP/1.1" 200 Dateigröße "-" "System"

Statt "GET" sollte da dann eure beiden Befehle stehen? Sofern nur Zeilen mit "GET" drin sind, alles OK? Nicht mal ein Versuch?

Wenn du im /pfad tadminlogin im Zshg. mit insert oder delete hast, dann wurde der Shop direkt angegriffen. Steht da nur was von sleep(x) war es nur der Test ob der Exploit prinzipiell funktioniert.

 

[maestro]

Da wir in dem Newsletter sehr detaillierte Informationen zu den technischen Hintergründen dieser Sicherheitslücke geben, haben wir uns bewusst dazu entschieden, die Inhalte nicht öffentlich zu machen. Zukünftig werden wir aber einen entsprechenden Hinweis im Forum oder Kundencenter (hier klären wir aktuell die Möglichkeiten) veröffentlichen, der die Echtheit der Information sowie die Sicherheit der geteilten Links bestätigt.

Es macht durchaus Sinn, das ganze hier nicht detailliert zu schreiben. Allerdings hätte ich hier zumindest ein Posting mit dem schlichten Hinweis auf das Problem als SEHR hilfreich empfunden. Ohne Details. Und sicherheitshalber könnte doch das Unterforum hier nicht offen sein, sondern zur Zugriff mittels Login. So entgeht ihr auch ein wenig der Öffentlichkeit, ein kleinwenig. Dann wären wohl auch User hier direkt auf das Problem aufmerksam geworden, da die E-Mail ja anscheinend leider nicht bei allen ankam.

Die Links waren zudem wirklich übelst, anders kann man das nicht sagen. Bei Klick wurde direkt das zip-File angeboten... Klasse.

Ein weiterer Punkt bei der ersten Mail war die Ansprache mit "Liebe Kunden". Bei der zweiten Mail stand dann der Name drin, das macht gleich einen besseren Eindruck. Rein von der Aufmachung ging ich bei der ersten E-Mail schon davon aus, dass diese von JTL kommt. Die Details, Beschreibung, Sprache, Absender, Header, alles passte. Andererseits - man wird eben paranoid, ob nicht ein gewiefter irgendwo Mailadressen von Shopbetreibern abgegriffen hat. Dann ist die erste Möglichkeit, das ganze zu überprüfen schnell ins Forum zu schauen - da wird sowas ja sicher direkt stehen - Pustekuchen. Und genau das hatte mich eben verunsichert.

Daher Vorschlag: Macht doch einfach einen Thread auf, der nur nach Registrierung sichtbar ist. Den kann man sich ins Abo legen und bekommt dann parallel auch eine Benachrichtigung bei "wichtigen Informationen".

Nur als Verbesserungsvorschlag für die Zukunft.

 

[Harald Weingaertner]

Ich habe in einem unserer Shops auch eine Zeile mit "tadminlogin" gefunden und es lag auch eine PHP Datei im Verzeichnis /bilder/banner

Wenn ich die aber aufrufe, dann passiert nichts. Ich hab auch den Patch mal rückgängig gemacht und die Datei aufgerufen... Guckt sich das heute noch jemand bei JTL im Ticketsystem an? Ich würde schon gerne wissen, ob ich noch mehr tun muss oder ob das Einspielen des Patches und das ändern der Passwörter ausreicht. Das Ticket ist eröffnet.

 

[FPrüfer]

Bitte den Patch nicht rückgängig machen! Die PHP-Datei in /bilder/banner/ NICHT ausführen sondern LÖSCHEN!!!
Wenn die Datei noch da ist, dann hat die .htaccess in /bilder ggfs. vor Schlimmerem bewahrt, da der Eindringling zwar sein Backdoor-Script hochladen aber nicht aufrufen und seine Spuren verwischen konnte.

 

[lumbert]

Wenn du im /pfad tadminlogin im Zshg. mit insert oder delete hast, dann wurde der Shop direkt angegriffen. Steht da nur was von sleep(x) war es nur der Test ob der Exploit prinzipiell funktioniert.

Aber auch hier gab es weitere Stufen: Der Test an sich, der Zugriff aufs Backend über den angelegten Account und dem Browsen von ein paar Seiten und dem Installieren einen Backdoor mit umfangreichen Möglickeiten Daten abzuziehen. Letzteres lese ich hier nicht, daher ganz wichtig: Prüft auf den Check, nehmt dann die Ip und prüft damit das ganze Log. Schaut Euch dann auf die zugegriffenen Dateien im Access-Log an, diese zwingend prüfen.

Wird der letzte Schritt nicht getan, nur der Patch eingespielt und das installierte PHP Skript nicht erkannt, dann ist auch nach der Installation vom Patch der Shop komplett "offen" und es können bspw. beliebig Dateien gelöscht werden oder jederzeit ein aktueller Dump der Kunden gezogen werden.

 

[Mark Schuepstuhl]

@LaLumex Hm, danke für die Info. Das ist schon seltsam, insbesondere, wenn Dienstag noch was ankam. Ich geh dem mal bei uns nach (kann jetzt übers WE natürlich schwierig werden), aber da ist auch meine Neugier angetriggert. Kann natürlich auch sein, dass es an deinem Mailanbieter liegt, aber dazu möchte ich erst mal ein Problem bei uns ausschließen. Magst du mir mal per PN deinen Kundenaccount-Namen und hinterlegte Email-Adresse schicken?

 

[Harald Weingaertner]

Bitte den Patch nicht rückgängig machen! Die PHP-Datei in /bilder/banner/ NICHT ausführen sondern LÖSCHEN!!!
Wenn die Datei noch da ist, dann hat die .htaccess in /bilder ggfs. vor Schlimmerem bewahrt, da der Eindringling zwar sein Backdoor-Script hochladen aber nicht aufrufen und seine Spuren verwischen konnte.

Danke, in /bilder/banner liegt keine .htaccess. Wie müsste denn eine aussehen, wenn man da eine reinlegen will? Dann mache ich das mal sicherheitshalber.

Was die PHP Datei auslösen sollte, würde mich dann auch noch interessieren. Kann man nicht doch irgendwo einen Bereich öffnen, wo ich die mal reinkopieren kann?

 

[Andre N.]

Ich habe in einem unserer Shops auch eine Zeile mit "tadminlogin" gefunden und es lag auch eine PHP Datei im Verzeichnis /bilder/banner

Wenn ich die aber aufrufe, dann passiert nichts. Ich hab auch den Patch mal rückgängig gemacht und die Datei aufgerufen... Guckt sich das heute noch jemand bei JTL im Ticketsystem an? Ich würde schon gerne wissen, ob ich noch mehr tun muss oder ob das Einspielen des Patches und das ändern der Passwörter ausreicht. Das Ticket ist eröffnet.

Hallo Herr Weingaertner,

der Shop-Support arbeitet natürlich aufgrund der aktuellen Entwicklung heute und morgen durch. Wir versuchen nach und nach alle Anfragen so schnell es geht zu bearbeiten.

Das Support Team

 

[KlausB]

Wenn du im /pfad tadminlogin im Zshg. mit insert oder delete hast, dann wurde der Shop direkt angegriffen. Steht da nur was von sleep(x) war es nur der Test ob der Exploit prinzipiell funktioniert.

Leider ist in der Mail von heute aus meiner Sicht nicht alles eindeutig beschrieben. Ich habe den Patch gestern Abend eingespielt und habe heute ein Angriffsmuster in der access. log
Unter 2. steht ".. insert UND delete in der gleichen Zeile ..." -> Bei mir ist insert UND delete nicht in einer Zeile.
3. "dort ... Statuscode "200" ..." -> Tja, wo dort? In der Zeile Insert UND delete? Die wurden mit "404" quitiert.
Es gibt Zeilen, die mit dem Code "200" und mit über 2000 Byte quittiert wurden. Wurden nun doch Daten abgegriffen, obwohl das System gepatcht war?

 

[Mark Schuepstuhl]

@maestro Tatsächlich beginnen all unsere offiziellen Mails mit "Liebe Kunden".

Zugegebenermaßen ist ein solcher Fall wir der diese ja nicht die Regel und dass der eine oder andere dann einen Schlag Extra-Paranoia dazugibt, nachvollziehbar. Daher ist der Verbesserungsvorschlag gut und vermerkt. Danke!

 

[sah]

Bitte den Patch nicht rückgängig machen! Die PHP-Datei in /bilder/banner/ NICHT ausführen sondern LÖSCHEN!!!
Wenn die Datei noch da ist, dann hat die .htaccess in /bilder ggfs. vor Schlimmerem bewahrt, da der Eindringling zwar sein Backdoor-Script hochladen aber nicht aufrufen und seine Spuren verwischen konnte.

-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 4 08:23 TvpLrQKj.php
-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 5 08:25 VvqoOG.php
-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 5 08:46 vbRAuSwmy.php
-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 5 07:54 vmPkr.php

Wir hatten in Banner vier Hintertüren ...

 

[lumbert]

-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 4 08:23 TvpLrQKj.php
-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 5 08:25 VvqoOG.php
-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 5 08:46 vbRAuSwmy.php
-rw-r--r-- 1 web27494xxx web27494xxx 866 Nov 5 07:54 vmPkr.php

Wir hatten in Banner vier Hintertüren ...

Prüfe zwingend Dein Access- Log dagegen, siehst Du Zugriffe auf diese Dateien, dann ist die Wahrscheinlichkeit groß´das der Angreifer Deine kompletten Daten aus tkunde hat.
Teile davon sind verschlüsselt, aber er hat damit auch das (verschlüsselte) Passwort zum Kundenzugang, die eMail des Kunden usw.

In dem Fall musst Du handeln, ich zitiere:

Sollten Sie weitere Angriffsmuster in Ihrem Access-Log identifizieren, ist der Vorfall unter Umständen als sicherheitskritisch und datenschutzrelevant einzustufen.
Bitte informieren Sie in einem solchen Fall umgehend Ihren Datenschutzbeauftragten und ziehen weitere Experten, wie z.B. Ihren Hosting-Dienstleister, zur Analyse der Logs zur Hilfe

Meiner Auffassung nach müsstest Du dann bspw. auch alle Kundenpasswörter zurücksetzen als auch alle Passwörter aus den Backend-Zugängen.

 

[maestro]

-rw-r--r-- 1 webxxx webxxx 866 Nov 4 08:23 x.php
-rw-r--r-- 1 webxxx webxxx 866 Nov 5 08:25 x.php
-rw-r--r-- 1 webxxx webxxx 866 Nov 5 08:46 x.php
-rw-r--r-- 1 webxxx webxxx 866 Nov 5 07:54 x.php

Wir hatten in Banner vier Hintertüren ...

Heißt dass dann, dass hier die Lücke dann aktiv ausgenutzt wurde? Interessant auch dass hier schon gestern vormittag der erste Angriff erfolgte und heute dann nochmalig.

Welche Daten können denn generell abgegriffen werden? Alle getätigten Bestellungen seit Existenz des Shops?

Gibt es auch eine Möglichkeit z.B. Bestellungen älter als 1 Jahr rauszulöschen - klar - nicht schön für den Kunden - andererseits wenn diese nur noch "lokal" im heimischen System und nicht offen im www liegen - an sich ja auch kein Nachteil, wenn man als Betreiber diese Wahl hätte.

 

[lumbert]

Heit dass dann, dass hier die Lücke dann aktiv ausgenutzt wurde? Interessant auch dass hier schon gestern vormittag der erste Angriff erfolgte und heute dann nochmalig.

Prüfe im AccessLog ob es auf diese Dateien POST Requests gegeben hat, dazu dann schauen wieviel Daten zurückgeliefert wurden (Spalte nach dem http code, in der Regel 200). Wenn Du diese siehst, dann ist das problematisch.

 

[lumbert]

Welche Daten können denn generell abgegriffen werden? Alle getätigten Bestellungen seit Existenz des Shops?

Bei den Versionen die ich gesehen habe:

- Alles aus tkunde
- Alles aus tadminlogin
- Dateien löschen
- Dateien runterladen

 

[301Moved]

Nicht in eigener Sache, aber eben als Frage gehört (nicht hier im Forum aktiv):

Ticket anlegen ohne aktuelle Shop Subscription, falls man den Verdacht hegt?

WICHTIG: Es ist weiterhin möglich, dass auch jetzt noch Backdoors installiert sind, die auch nach Einspielen des Patches nutzbar bleiben. Wenden Sie sich daher bitte schnellstmöglich per Ticket an uns, damit wir Ihnen weiterhelfen können.

 

[bebob]

Hi Zusammen,

ich kann in der access log diesen Beitrag "tadminlogin" nicht finden. Ist dann für uns entwarnung angesagt oder muss ich weiteres prüfen. Patch ist nach anleitung aufgespielt.

Gruß BeBoB