23.03.2019 - Kritische Sicherheitslücke in Dropper
Es existiert eine Sicherheitslücke in Dropper < 100.15.9, die es Angreifern ermöglicht, Schadcode direkt auf dem Server auszuführen. Das ist nachweißlich bereits geschehen - in unserem eigenen Store.
Bitte führe dringend folgende Schritte aus!
1. Sicherheits-Patch einspielen
a) Wenn du Dropper aktiv einsetzt, aktualisiere Dropper über die Paketverwaltung.
Sollte das aus irgendwelchen Gründen nicht funktionieren kannst du das Update auch manuell über den Reiter "Upload" in der "Pluginverwaltung" des Shops einspielen.
Hier findest du die aktuellste Dropper Version:
Download
Öffne anschliessend das Dropper-Backend um zu verifizieren dass das Update erfolgreich war.
b) Falls du Dropper verwendest, aber die Lizenz abgelaufen ist, lösche die Datei
[ShopRoot]/includes/plugins/kk_dropper/version/100/adminmenu/kk_upload.php
c) Falls du Dropper nicht mehr verwendet, deinstalliere Dropper über die JTL-Shop Pluginverwaltung und lösche den Ordner
[ShopRoot]/includes/plugins/kk_dropper
Prüfen, ob Dropper noch im JTL-Shop vorhanden ist
Auch wenn du Dropper nicht mehr nutzt und sogar deinstalliert hast, verbleiben Dateien auf dem Webserver. Prüfe daher in der JTL-Shop Pluginverwaltung alle Reiter auf Verweise auf "Dropper" (Name) oder "kk_dropper" (Verzeichnis).
Wenn du Dropper hier in einem anderen Reiter als "Aktiviert" findest, lösche den Ordner
[ShopRoot]/includes/plugins/kk_dropper
.
2. Prüfe, ob du betroffen bist
Prüfe in jedem Fall den Ordner
[ShopRoot]/downloads/vorschau/
auf
*.php
Dateien und benenne diese in
*.php.disabled
um (für die Strafverfolgung hilfreich). Wenn du dir unsicher bist, lösche alle Dateien mit der Endung
.php
in diesem Ordner
[ShopRoot]/downloads/vorschau/
.
Bitte prüfe auch die Ordner
[ShopRoot]/bilder
und
[ShopRoot]/bilder/kk_dropper_uploads
auf
*.php
Dateien und benenne sie auf
*.php.disabled
um.
3. Daten sammeln
Falls du betroffen bist, versuche bitte die Access-Log-Dateien des Webservers für den Monat März zu erhalten und zu sichern. Das könnte die Spurensicherung und Strafverfolgung erleichtern. Die Attacke auf unseren Shop fand am 11.03.2019 statt. Diese Informationen werden im Abschnitt "Polizeiliche Ermittlungen" und "Informationen für Administratoren" relevant.
4. JTL Shop aktualisieren
JTL hat mit JTL-Shop Version 4.06.12 Sicherheitsupdates im JTL-Shop veröffentlich, die helfen, das zukünfte Ausnutzen ähnlicher Schwachstellen (auch durch andere Erweiterungen) zu vermeiden. Wir raten dir dringend dazu, deine JTL-Shop Installation zu aktualisieren.
Wenn du betroffen bist
Falls du Dateien im Ordner
[ShopRoot]/downloads/vorschau/
gefunden hast, raten wir dir dringend:
- Die Zugangsdaten deiner Shop-Datenbank in deiner Webshosting-Adminoberfläche (z.B. Plesk) und zeitgleich in der Datei
[ShopRoot]/includes/config.JTL-Shop.ini.php
deiner JTL-Shop Installation zu ändern. - Die WaWi-Sync-Daten im Shopbackend und zeitgleich in der JTL-WaWi zu ändern.
Wenn du befürchtest, betroffen zu sein, melde dich bitte unbedingt per Mail an security@kreativkonzentrat.de.
Polizeiliche Ermittlungen
Der Angriff auf unseren Store wurde am 24.03.2019 vom LKA Sachsen aufgenommen. Wir wurden befragt und haben detailliert geschildert, wie der Angreifer auf unserer Seite vorgegangen ist. Unsere Erkenntnisse zum Ablauf des Angriffs und detaillierte Logdateien (mit deren Zustimmung auch von Betroffenen) haben wir den Beamten übermittelt.
Die Beamten vom LKA haben empfohlen, dass weitere Betroffene ebenfalls Strafanzeige bei ihrer lokalen Polizeibehörde stellen.
Dabei sollte:
- auf die Vorgangsnummer 184/19/523120 (unsere Anzeige) bei der Polizei Sachsen verwiesen werden
- sichergestellte Dateien wie die
access.log
und die PHP Dateien aus dem Ordner[ShopRoot]/downloads/vorschau/
übergeben werden - der Vorfall geschildert werden (referenziert hier gern unsere Mails)
Der Verweis auf unseren Vorgang hilft den Beamten, ihre Bemühungen zu bündeln. Leider musst du zusätzlich diesen individuellen Weg gehen, um die Straftat auf deinen Servern anzuzeigen.
Meldung an die zuständige Datenschutzbehörde
Wir haben den Vorfall an unsere zuständige Datenschutzbehörde gemeldet, denn wir können mit Sicherheit sagen, dass die Datenbank unseres JTL-Shops (kreativkonzentrat.de) ausgespäht worden ist.
Auch werden wir die betroffenen Personen (Kunden unseres Onlineshops) über diesen Vorfall in einer separaten EMail informieren.
Musst du auch melden?
Ob Betroffene der Sicherheitslücke pauschal zu einer Meldung verpflichtet sind, können wir nicht beantworten.
Zur Entscheidungsfindung könntet ihr so vorgehen:
- Dein Datenschutzbeauftragter sollte den Fall dokumentieren und kann dabei gern Bezug auf unsere Mails nehmen (Mails speichern)
- Dein Server-Administrator / Hoster sollte auf einen unberechtigten Zugriff auf die Datenbank prüfen (siehe nächster Abschnitt)
- Mit den Erkenntnissen aus der Prüfung kann der Datenschutzbeauftrage eine Entscheidung zur Meldung treffen, dies dokumentieren und ggf. durchführen
Unser Entscheidungsweg: wir konnten durch die Analyse unserer access.log Dateien einen eindeutigen Zugriff auf unsere Datenbank feststellen. Daher melden wir den Vorfall.
Falls du keinen eindeutigen Zugriff auf die Datenbank feststellen kannst, kläre bitte mit deinem internen oder externen Datenschutzbeauftragten, ob eine Meldung an die Datenschutzbehörden deines Landes oder sogar an deine Kunden notwendig ist. Wir können leider keine Rechtsberatung ersetzen und nur unseren Fall und Vorgehen transparent schildern.
Informationen für Administratoren
Im Ordner
[ShopRoot]/downloads/vorschau/
befanden sich bei den Betroffenen mindestens 2 PHP Dateien mit meist kryptischen Namen. Bei der größeren von Beiden handelt es sich um ein DB-Tool (Adminer).
Durchsuche eure access.log nach
[ShopRoot]/downloads/vorschau/
und prüft, ob auf die größere Datei zugegriffen wurde. Wenn dem so ist, könnt ihr nicht ausschließen, dass die Datenbank ausgelesen wurde.
Sollte die Datenbank von außen erreichbar sein (unüblich), könnt ihr nicht ausschließen, dass diese gelesen wurde, denn der Angreifer hatte definitiv Zugriff auf die DB-Zugangsdaten der
[ShopRoot]/includes/config.JTL-Shop.ini.php
.
Aus den
access.log
Dateien, die wir mit Zustimmung von Betroffenen geprüft haben, konnten wir bisher kein Ausspähen der Datenbank feststellen. Das heißt jedoch nicht, dass dies nur in unserem Fall passiert ist.
FAQ
Hier sammeln wir Antworten auf die häufigsten Kundenanfragen.
Unsere Hilfe
Wir werden alles daran setzen, dir zu helfen.
Wir bedauern diesen Vorfall sehr und entschuldigen uns in aller Form für die zweifellos entstandenen Unannehmlichkeiten.
Bis zur Klärung sind wir unter security@kreativkonzentrat.de oder 0351-84708960 erreichbar.
Updates dieser Seite
Mi. 03.04.2019
- Hinweise zu JTL-Shop Update 4.06.12; Abschnitt "Auf Dropper Dateien prüfen"; Ergänzung zu polizeilichen Ermittlungen
Mo. 25.03.2019
- Informationen aus Update Mail eingepflegt (Strafverfolgung, Hinweise für Admins, Datenschutzbehörden)
Sa. 23.03.2019
- erste Version dieser Seite, Mail an potentiell Betroffene