Erneute Sicherheitslücke bei ImageMagick sorgt für neues Gefahrenpotential

© Depositphotos /   photovibes1

© Depositphotos / photovibes1

Die so genannten Bildbearbeitungs-Bibliothek ImageMagick sind mit ein paar Funktionen ausgestattet, welche einige Teile des vergebenen Dateinamens über Shell weitergegeben bzw. ausgeführt werden. Für diese Programmierung haben Cyberkriminelle nun eine Möglichkeit entdeckt, wie sie nahezu mühelos Schadcode aus einem System einschleusen können. Von der neuen Sicherheitslücke ist auch die Bibliothek GraphicsMagic in vollem Umfang betroffen. Kurz nach dem Bekanntwerden der neuen Gefahrenquellen haben sich deren Entwickler dazu entschlossen, die Funktionen im Rahmen einer neuer Version 1.3.24 zu entfernen. Nahezu identisch verhält es sich mit ImageMagick: Die Behebung des Security-Problems erfolgt die ab sofort erhältliche Version 7.0.1-7.

Erst vor knapp einem Monat muss ImageMagick harsche Kritik einstecken und empfindlich klingende Schlagzeilen für sich verbuchen, als das Leck CVE-2016-3714 die Runde durchs Internet machte. Damals konnten Angreifer Schadcode jedweder Art auf den jeweils betroffenen Servern ausführen. Zum damaligen Zeitpunkt stieg die Anzahl der Hacker-Attacken innerhalb kürzester Zeit sprunghaft an. Diese unliebsame Situation zeigte einmal mehr, wie grundlegend wichtig es ist, die Bibliotheken möglichst rasch einer Aktualisierung zu unterziehen.

Sicherheitsexperten konnten feststellen, dass insbesondere auf Linux basierende Web-Apps ein begehrtes Ziel für die Einschleusung von Schadcode sind. Foren-Avatare oder andere Bilder, welche der Anwender selbst hochladen darf, stellen in diesem Zusammenhang ein besonders hohes Gefährdungspotential dar. Darüber hinaus nutzen eine Vielzahl unterschiedlicher Desktop-Anwendungen unter Unix/Linux ebenfalls die genannten Bibliotheken.

Sicherheitsforscher von CloudFlare sowie von Sucuri konnten bereits bei der Gefährdung vom vergangenen Monat jede Menge Exploits lokalisieren. Dort handelte es sich in erster Linie um Kommandozeilen-Befehle, sich als harmlose Bilddatei tarnten. Sobald der entsprechende Schadcode auf den Server gelangte, konnte Angreifen die vollständige Kontrolle über diesen an sich reißen.

Administratoren sind derzeit gut damit beraten, die jeweils aktuellsten ImageMagick- und GraphicsMagick-Pakete für ihre eingesetzte Linux-Distribution zu installieren. Für den Download der Bibliotheken stehen zudem die Webseiten der beiden Projekte zur Verfügung.


Magento Sicherheitslücke – tausende Shops betroffen

© Depositphotos / PirenX

© Depositphotos / PirenX

Wieder einmal wird das Shop-System Magento angegriffen. In der nahen Vergangenheit wurden bereits mehrmals Viren, Trojaner und Malware auf die Onlineshops von Magento los gelassen. Dabei haben diese dann nicht nur Inhalte des Shops verändert und alles durcheinander gebracht, sondern sie sind auch an sensible Daten der Kunden gekommen. Jetzt ist das wieder der Fall. Die Angreifer jubeln den Kunden der Shops ein sogenanntes Exploit-Kit unter und fischen dann damit auf deren Rechnern Kartendaten und Logins für Bezahldienste ab. Fast 8.000 Shops sollen aktuell davon betroffen sein.

Immer wieder Magento
Magento wurde in der Vergangenheit immer mal wieder Opfer von eigenen Sicherheitslücken. Der Grund, wieso sich die Angreifer bereits zum wiederholten Male Magento als Angriffsziel aussuchen, liegt auf der Hand: Zum Einen scheint Magento doch immer wieder für Sicherheitslücken anfällig zu sein und zum Anderen lohnen sich die Online-Shops für die Angreifer besonders, da zu erwarten ist, dass dort sensible Kundendaten, wie beispielsweise Logins für Bezahlsysteme oder Daten der Bankkarten, vorliegen. Diese können die Angreifer dann abrufen und an sich reissen. Mozilla und Google haben auf Grund des weit um sich fassenden Schadens mittlerweile die bekanntgewordene Domain gesperrt. Der Schadcode wurde bereits auf fast 8.000 Magento-Seiten verteilt. Allerdings können die Angreifer nun ihre Attacken theoretisch über andere Domains fahren. Dazu ist aber noch nichts weiter bekannt geworden. Ob Ihr Online-Shop ebenfalls auf Magento basiert, können Sie unter http://syscheck.net herausfinden. Einfach den Link zum Shop eingeben und schon wird die Information ausgegeben, um welches System es sich dabei handelt.

Der Infektionsweg ist weiterhin unbekannt
Noch beängstigender als das Problem sowieso schon ist, macht das Ganze die Tatsache, dass der genaue Infektionsweg noch immer nicht wirklich bekannt ist. Magento arbeitet derzeit an Patches, um die Sicherheit wieder zu gewährleisten. Gleichzeitig wird aber auch nach dem wirklichen Problem gesucht. Ob eine aktuelle Lücke in der Software als Einfallstor dient ist nämlich überhaupt noch nicht geklärt. Klar ist nur, dass die Angreifer das Shop-CMS infizieren. Die Shopbetreiber und vor allem auch die Besucher sollten daher in der nächsten Zeit besonders vorsichtig sein und genau beobachten. Häufig verraten sich Viren, Trojaner und Malware allgemein sehr leicht. Fällt Ihnen etwas ungewöhnliches auf, beispielsweise bei der Abfrage Ihrer Daten, sollten Sie skeptisch sein.

Wie der Schadcode entdeckt werden kann
Die Seiten der Shops mit Magento übertragen die Schadsoftware über kleine sogenannte iFrames, die zur Domain namens Guruincsite.com führen. Deshalb wird die ganze Problematik international auch guruincsite infection genannt. Die Verlinkung konnte im Klartext erkannt werden, es gibt jedoch auch eine weitere Variante, die den Link durch Nutzung von ASCII-Code statt Klartext-Zeichen verbirgt. Meist lassen sich die infizierten iFrames in der Datenbank-Tabelle core_config_data unter design/footer/absolute_footer finden. Empfohlen wird allerdings, die gesamte Datenbank abzusuchen und zu scannen, entweder nach „function LCWEHH(XHFER1){XHFER1=XHFER1“ oder der Bezeichung „guruincsite“. Google konnte nur anhand dieser Entdeckung die Verlinkungen zu den fast 8.000 bisher betroffenen Magento Shops sperren. Weichen die Angreifer jetzt aber auf einen alternativen Domain aus, muss dieser erst wieder gefunden werden. Deshalb hat es nun höchste Priorität, die wirkliche Ursache dafür zu entdecken.