Malware in Open Source Systemen
In den letzten Monaten ist es vermehrt zu Angriffen auf Open Source Software gekommen. Insbesondere die Top 3 der meist verwendeten CMS beziehungsweise Shopsysteme WordPress, Joomla und Magento waren ein beliebtes Ziel. Erbeutet werden neben eMail Adressen, Passwörtern und Accounts auch gerne Kreditkartendaten.
Malware in Open Source Systemen
Die Angriffe der letzten Monate auf Open Source Systeme zeigen, warum es ein Vorteil ist auf Open Source zusetzen. Es hat aber auch aufgezeigt, dass am Ende immer der Administrator des jeweiligen Systems für die Sicherheit verantwortlich ist.
Bei Open Source Systemen werden bekannte Sicherheitslöcher umgehend (innerhalb weniger Stunden bis Tage) geschlossen. Allen drei großen Systemen ist gemein, dass die Software nicht automatisch aktualisiert wird. Im jeweiligen Backend bekommt man nur einen Hinweis über einen neuen Sicherheitspatch oder eine neue Version. Den Patch einspielen, bzw. die Software aktualisieren muss der Administrator manuell.
Updatequal
Updates führen bei vielen Systemen zu Problemen. So auch bei Open Source Software. Wird das Basissystem gepatched, dann funktionieren oft Module oder Erweiterungen Dritter nicht mehr, oder nicht mehr korrekt. Gerade die offenen Schnittstellen und die große Menge an zusätzlichen Modulen ist die große Stärke solcher Systeme. Je nach Qualität der dahinter stehenden Firma oder des Entwicklers wird das Modul oft nach wenigen Tagen ebenfalls aktualisiert.
Schlecht entwickelte Module oder eigene Modifikationen am Basissystem können eine Webseite oder ein ganzes Shopsystem zu einem starren Gebilde machen. Ein Update ist dann nur durch enormen Aufwand möglich. Meist scheitert es da am Budget oder am Können von Administratoren beziehungsweise Webentwicklern. Ein nicht mehr upgedatedes System wird so zur tickenden Bombe.
Malware
Malware ist ein recht komplexes Thema. Generell versteht man darunter jegliche Art von Software die schadhafte Funktionen einem anderen Programm unterschiebt. Meist geht das bei Webapplikationen völlig unbemerkt. Der Umfang des zusätzlichen Codes ist meist recht klein, da zusätzliche Software von externen Quellen kommt, oder erst beim Client im Browser geladen wird. Gerade Javascript Malware ist trügerisch, da man diese auf einem gut administrierten und abgesicherten Webserver nicht vermutet und nur schwer findet. Ist der Javascript Malware Code komprimiert, wie viele andere Javascript Bibliotheken, dann ist er kaum noch zu lesen. Malware von WordPress, Joomla und Magento wird fast ausschließlich über Lücken im Source Code der jeweiligen Software eingeschleust. Ein Problem, das nur durch ein Update der Software behoben werden kann.
Wie wirkt sich Malware aus?
Maleware in Webapplikationen dient generell einem einzigen Ziel: das ausspähen von Daten. Das können Logins für Administratoren sein, um die Seite dann gezielt zu manipulieren, oder bei Onlineshops die Kreditkartendaten von Kunden. Die aktuellste Magento Malware zielt es gerade auf diese Kreditkartendaten ab. Durch eine Sicherheitslücke im System wird Javascript Code in den Source Code vom Onlineshop eingeschleust. Dieser wird bei jedem Seitenaufruf im Browser beim Kunden ausgeführt und schickt die eingegebenen Daten an einen Server. Dort speichert der Angreifer die Kreditkartendaten ab und verkauft diese weiter.
Das Beispiels der letzten Magento Malware zeigt folgendes Bild:
- Anfang 2015 kommt es zu ersten gezielten Angriffen gegen Magento -> es erscheint der Shoplift Patch
durch diesen Patch wird eine „remote code execution“ Lücke geschlossen. Durch diese war es möglich fremden Code auf dem Webserver als Admin auszuführen – damit kann man Source Code verändern und eigene Funktionen hinzufügen. Dieses Problem wurde zusätzlich auch in der neu erschienenen Version 1.9.1.1 behoben. Bei allen früheren Versionen wurde im Backend deutlich gewarnt (mehrmals) doch den Sicherheitspatch einzuspielen. - Mitte 2015 kommt es zu weiteren Angriffen, es werden zahlreiche neue Sicherheitslücken in Magento gefunden und es erscheinen weitere 3 Patches. Wieder wird im Shop Backend gewarnt und um Update ersucht.
- im Oktober verbreitet sich die Meldung in den Medien, dass tausende Magento Shops mit einer Malware infiziert sind. Es erscheint zwar ein neuer Patch, dieser stopft weitere Probleme. Es zeigte sich, dass die Malware durch die Lücke eingeschleust wurde, die bereits im Februar 2015 geschlossen war. Offenbar waren die Administratoren, Entwickler oder Shopbetreiber zu faul die betroffenen Systeme sicher zu halten.
Fazit
Open Source Systeme sind nur sehr schwer mit Malware zu infizieren. Bekannte Probleme werden in der Regel umgehend behoben. Unsichere Systeme sind fast ausschließlich durch mangelhafte Kenntnisse der Betreiber beziehungsweise durch bewusste Nachlässigkeit bei den Aktualisierungen zurückzuführen. Wie immer folgt Medienwirksam ein Aufschrei und einem Bashing der Software. Es zeigt sich, dass gerade die häufig angegriffenen Systeme in der jeweils aktuellsten Version am sichersten sind. Top 3 Software bietet das größte Angriffspotential und ist deshalb rund um die Uhr Angriffen ausgesetzt.