OS Commerce: Angriff macht tausende Shops zu Malware-Schleudern

Entdeckt wurde die Angriffswelle in der Nacht zum Mittwoch von Gerhard Recher , dem Betreiber der Spamfilter-Lösung Clean-MX   . Bis Mittwoch Mittag konnte er bereits 294 deutsche Onlineshops identifizieren, die von dem Angriff betroffen sind und seit dem missbraucht werden, eine Malware an alle Besucher ihrer Shops weiter zu reichen. Die Infektion zeigt sich meist durch einen im Titel-Tag der betroffenen Seiten eingefügten IFrame, in vielen Fällen wurde der Schadcode aber auch schon an anderen Positionen gesichtet.

Ramos Peter Strzygowski , Geschäftsführer der Screengarden Informationsdesign    und OS-Commerce-Experte bestätigte gegenüber iBusiness, dass es sich um eine neue Sicherheitslücke handelt, für die noch kein Patch verfügbar ist. Daher ist auch noch unklar, auf welchem Weg die Malware in die Systeme gelangt. Wahrscheinlich ist allerdings eine SQL-Injection. Strzygowski vermutet, dass neben den aktuellen OS-Commerce-Versionen auch Abkömmlinge wie Zen-cart   für den Angriff offen sind.

Das Security-Blog Armorize   hat ebenfalls eine Analyse durchgeführt und zeigt, wie sich die Infektion auf den Besucher-PCs einnistet.

OS-Commerce-Anwender können Ihre Systeme auf Befall testen, in dem sie den Quellcode der Shop-Seiten auf verdächtige Iframes untersuchen. Die Code-Beispiele haben wir aus Sicherheitsgründen als Bilder hinterlegt. Vor dem Besuch der eigenen Seite sollte zudem zwingend Javascript im Browser deaktiviert werden, um eine Infektion des eigenen Client-Systems zu vermeiden.

Update: Angreifer kommt vermutlich über file_manager.php

Einen Schutz vor einer Infektion des eigenen System bietet nach Recherchen von Gerhard Recher das Entfernen der Filemanager-Applikation file_manager.php sowie der Schutz des Admin-Verzeichnisses durch eine .htaccess-Datei. Seit einiger Zeit ist OS-Commerce in der Standardeinstellung hier nur noch durch ein internes Loginverfahren geschützt, die Programme des Admin-Moduls sind aber prinzipiell öffentlich Aufrufbar und damit für einen Script-Angriff erreichbar. Durch den zusätzlichen Passwortschutz via .htaccess wird das behoben.

Der aktuellen Verlauf der Infektionswelle lässt sich auf einem Viruswetter-Chart der Clean-MX-Betreiber (Weltweit)   und für Deutschland   live verfolgen.