Durch die Sicherheitslücke in der Version 4.1.00 des Shops xt:Commerce können sich die Angreifer Zugang zu E-Mail-Adressen und Passwörtern der Kunden verschaffen. An Daten von Admins zu kommen, ist ebenfalls möglich, so der IT-Consultant und Sicherheitsforscher Daniel Schumacher, der die Lücke gefunden hatte. Und auch die Sicherheit der Zahlungsdaten von Kunden ist gefährdet, falls der Anbieter diese auf dem Server speichert.
Das Online-Shopsystem xt:Commerce stellte kurz nach Entdeckung der Lücke einen Patch zur Verfügung, der Probleme schnellstmöglich aus dem Weg räumen sollte. Der Hotfix folgte zwei Tage später.
Ursachen des Problems
Was die Sicherheitslücke verursacht hat, hat xt:Commerce bisher nicht bekannt gegeben. Schumacher erklärt die Lücke jedoch mit einer nicht ausreichenden Überprüfung von URL-Parametern, wodurch Angreifer per SQL-Injection Anfragen injizieren könnten. Angriffe könnten ohne deutliche SQL-Fehler durchgeführt werden. Außerdem erfolgte ein vom Sicherheitsforscher erfasster Angriff automatisiert per sqlmap, was kaum Serverlast auslöste. Ohne sich die Logdateien anzusehen, bekommen Shop-Betreiber also nichts von möglichen Angriffen mit.
Weitere Maßnahmen zur Behebung des Problems
Von keinen weiteren bekannten Angriffen spricht dagegen der Geschäftsführer von xt:Commerce Mario Zanier. Außerdem schätzt er, dass mittlerweile nur noch weniger als 500 Shop-Betreiber die gefährdete Version 4.1.00 nutzen. Alle anderen sind dem Rat des Herstellers gefolgt und haben die Änderung auf die Versionen 4.1.10 und 4.2.00 vorgenommen. Diese sind durch die Sicherheitslücke nicht gefährdet.
Laut Daniel Schumacher schließt der Hotfix die Lücke mithilfe eines Typecasts der URL-Parameter. Unbekannt ist, von wie vielen Betreibern er bislang eingespielt wurde.
xt-Commerce versucht derweil zu klären, ob die Sicherheitslücke auch ältere Versionen beeinträchtigen und wie aktuelle Versionen auf veränderte Formen der Attacke reagieren. Außerdem hat das Online-Shopsystem angekündigt, ein Skript zur Verfügung zu stellen, mit dem die Server-Logdateien von Shops auf mögliche Angriffe überprüft werden können.