Akut: Kritische Sicherheitslücke in JTL-Shop 5.x wird bereits aktiv ausgenutzt
Bei einer kritischen Sicherheitslücke in JTL-Shop 5.x handelt es sich nicht mehr um ein theoretisches Risiko. Nach unseren Erkenntnissen wird die Schwachstelle bereits aktiv ausgenutzt. Dabei werden Shops kompromittiert und sensible Daten an externe Server übertragen. Aus diesem Grund informieren wir vorsorglich alle unsere Kunden mit einem JTL-Shop 5.x und haben bereits betroffene Kunden persönlich kontaktiert.
Aus diesem Grund informieren wir derzeit alle unsere Kunden, die einen JTL-Shop 5.x bei uns betreiben. Kunden, bei denen wir bereits Hinweise auf eine Kompromittierung festgestellt haben, wurden von uns umgehend persönlich kontaktiert.
Was ist passiert?
JTL hat für alle unterstützten Versionen des JTL-Shops Sicherheitsupdates veröffentlicht. Die Schwachstelle ermöglicht unter bestimmten Voraussetzungen das Auslesen sensibler Daten und – je nach Shop-Version – sogar die Ausführung von Schadcode auf dem Server.
Während der Hersteller vor allem auf die Verfügbarkeit der Sicherheitsupdates hinweist, zeigen unsere Untersuchungen, nach einem Komprommitierungs-Hinweis durch WawiHeroes dass die Schwachstelle bereits aktiv ausgenutzt wird.
Unsere Erkenntnisse
Bei den von uns untersuchten kompromittierten Systemen konnten wir unter anderem feststellen:
- Schadcode wurde auf dem Webspace abgelegt.
- Es wurden Datenbankinformationen ausgelesen.
- FTP- und SMTP-Zugangsdaten wurden gesammelt.
- SSH-Schlüssel konnten ausgelesen werden.
- Die gesammelten Informationen wurden an einen externen Server übertragen.
Nach aktuellem Stand handelt es sich also nicht nur um ein theoretisches Sicherheitsrisiko, sondern um Angriffe, die bereits stattfinden.
Was wir bereits unternommen haben
Unmittelbar nach Bekanntwerden der Schwachstelle haben wir unsere Infrastruktur überprüft und betroffene Kunden identifiziert.
Dabei haben wir:
- alle bei uns betriebenen JTL-Shops überprüft,
- kompromittierte Kunden sofort informiert,
- nicht betroffene Systeme kontrolliert,
- es werden heute alle Kunden mit JTL-Shop 5.x aktiv über die Sicherheitslücke informiert.
Unser Ziel ist es, das Risiko für unsere Kunden so weit wie möglich zu minimieren und betroffene Systeme schnellstmöglich abzusichern.
Was Sie jetzt tun sollten
Falls Sie einen JTL-Shop 5.x betreiben, sollten Sie unverzüglich handeln:
- Installieren Sie den von JTL bereitgestellten Sicherheitspatch bzw. aktualisieren Sie Ihren Shop auf die aktuelle Version.
- Prüfen Sie Ihren Shop auf Anzeichen einer Kompromittierung.
- Ändern Sie vorsorglich sämtliche Zugangsdaten, insbesondere Datenbank-, FTP-, SMTP- und SSH-Zugänge, sofern Ihr Shop betroffen war.
- Tauschen Sie vorhandene SSH-Schlüssel aus, wenn diese auf dem Webspace gespeichert waren.
- Beobachten Sie Ihren Shop und Ihre Serverprotokolle in den kommenden Tagen besonders aufmerksam.
Benötigen Sie Unterstützung?
Unsere Techniker unterstützen Sie gerne bei der Prüfung Ihres Shops, der Installation des Sicherheitspatches sowie der Analyse möglicher Kompromittierungen. Eröffnen sie dazu für Ihren Shop einfach ein Ticket über https://cmo.de/ticket
Wenn Sie unsicher sind, ob Ihr Shop betroffen ist oder Hilfe bei der Absicherung benötigen, wenden Sie sich bitte umgehend an unseren Support.
Je früher ein kompromittierter Shop bereinigt wird, desto geringer ist das Risiko weiterer Schäden.
