16.08.2011

Warnung des BSI


Online-Shops unter Beschuss: Angreifer zielen auf Sicherheitslücken von osCommerce

Gibt es in der Region Online-Händler, die mit älteren Versionen des Shop-Systems osCommerce arbeiten? Wenn ja, dann gilt es aufzupassen. Denn Angreifer bedienen sich derzeit mehrerer Sicherheitslücken, um auf diesem System basierende Web-Präsenzen zu manipulieren. Darauf weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) hin.

 

Die Angreifer verstecken schädlichen Code auf dem Shop-Server, welcher auf so genannte Drive-by-Exploits verweist. Beim Kundenbesuch eines so manipulierten Online-Shops werden Schwachstellen im Web-Browser, im Betriebssystem oder in anderer Software auf dem Besucher-PC ausgenutzt, um dort unbemerkt ein Schadprogramm zu installieren.

Nach Erkenntnissen des BSI sind inzwischen mehrere tausend Online-Shops weltweit betroffen, darunter auch viele deutschsprachige. Die Sicherheitslücken wurden bereits in der vom Hersteller im November 2010 veröffentlichten Version osCommerce 2.3 geschlossen. Viele Online-Shops setzen jedoch immer noch veraltete Versionen ein.

Das BSI rät Betreibern von Online-Shops, den Versionsstand zu überprüfen und ein Update auf die aktuellen Versionen 2.3.1 bzw. 3.0.2 durchzuführen. Die aktuellen Versionen stehen hier zum Download bereit. Bei älteren Versionen sollte der Shop-Server dringend auf Manipulationen untersucht werden.