Massenweise osCommerce-Shops gehackt

Unbekannte haben einem Bericht von Amorize zufolge zahlreiche Onlineshops mit einer veralteten Version von osCommerce zur Verbreitung von Schadcode missbraucht. Die Angreifer nutzten mindestens drei bekannte Schwachstellen in der Version 2.2. des quelloffenen Shopsystems aus, um sich Zugriff auf die Konfigurationsoberflächen der Shops zu verschaffen. Dadurch konnten die Unbekannten zunächst ein iFrame und später JavaScript-Code auf den Seiten platzieren, der die Besucher des Onlineshops mit Schadcode infizieren sollte.

Nach Beobachtungen von Armorize gelang es den Angreifern, die Anzahl der infizierten Shopseiten innerhalb kürzester Zeit drastisch zu erhöhen: lieferte Google bei er ersten Sichtung lediglich 90.000 Suchtreffer mit dem eingebetteten Schadcode, waren es am vergangenen Sonntag nach einer Woche bereits 3,8 Millionen. Allerdings werden hierbei mitunter auch mehrere Unterseiten eines Shops gezählt. Bei einem Test von heise Security am Dienstagnachmittag lieferte Google sogar rund 4,5 Millionen infizierte Seiten, von denen 160.000 deutschsprachig waren.

In die gekaperten Seiten hatten die Täter Schadcode mit insgesamt fünf Exploits eingebettet. Die Angreifer wollten damit Lücken in Java, Adobe Reader, Windows Hilfecenter und Internet Explorer zur Infektion der Besucher ausnutzen. Zwar existieren längst Patches für diese Schwachstellen, da es die Angreifer aber gleich auf vier Programme abgesehen hatten, ist die Wahrscheinlichkeit hoch, dass doch mal einer der Besucher einen Patch versäumt hatte. Inzwischen sind die Domains, über die der Schadcode verteilt wurde, nicht mehr erreichbar.

Auch Shopbetreiber scheinen schon mal einen Patch auszulassen: osCommerce-Entwickler Harald Ponce de Leon bestätigte gegenüber heise Security, dass die für den Einbruch genutzten Lücken bereits im November vergangenen Jahres mit Update auf osCommerce 2.3 geschlossen wurden. Inzwischen steht das Shopsystem in den Versionen 2.3.1 und 3.0.1 zum Download bereit. (rei)