Hunderte Onlineshops ignorieren Sicherheitslücken

Seit Monaten beobachten wir zum Teil katastrophale Zustände bei hunderten Onlineshops, die das Shopsystem Gambio GX verwenden und dabei wichtige Updates einfach ignorieren. Wir haben in einer früheren Version des Gambio GX Shopsystems, eine sehr kritische Sicherheitslücke entdeckt, die einem Angreifer die komplette Kontrollübernahme des Onlineshops bzw. auch die des Servers ermöglicht. In einer lokalen Simulation konnten wir sämtliche Datenbanken auslesen und auch die Kontrolle über das System erreichen. Das Auslesen sensibler Informationen war binnen Sekunden möglich. ...

Die Schwachstelle war in ihrer Form und laut unseren Informationen bisher zwar unbekannt, wurde aber durch vergangene Updates bzw. die dabei durchgeführten Änderungen der Shopsoftware, bereits behoben. Man sollte also meinen, dass von dieser Schwachstelle keine Gefahr mehr ausgehen könnte. Allerdings ist das Ergebnis unserer Nachprüfungen sehr ernüchternd. Wir haben unzählige Onlineshops auf Anfälligkeit zu dieser Schwachstelle überprüft und etwa jeder zweite Shop war von der Sicherheitslücke betroffen.

Die Tests wurden über Monate durchgeführt und die betroffenen Onlineshops bzw. die Shopbetreiber über die Schwachstellen informiert. In einer Email an die jeweiligen Betreiber, haben wir das Problem erklärt und Informationen bzw. Tipps zur Beseitigung der Sicherheitslücke übersandt. Leider haben nur sehr wenige Shopbetreiber auf unseren Hinweis reagiert und das Shopsystem mit den aktuellsten Updates ausgestattet. Somit bleibt weiterhin eine ernorme Gefahr für schätzungsweise mehrere Hunderttausend Kundendaten.

Bisher haben wir von einer öffentlichen Berichterstattung aufgrund der enormen Gefahr für die Kunden der jeweiligen Onlineshops abgesehen. Wir sind aber der Meinung, dass ein Zeitraum von mehreren Monaten ausreichend sein sollte, auf Sicherheitshinweise zu reagieren. Darum möchten wir nun eine öffentliche Warnung aussprechen und die Nutzer der Shopsoftware Gambio GX bitten, bisher ausgelassene Updates des Shopsystems unbedingt nachzuholen.

Es wird dringend empfohlen, auf die aktuellste Version des Shopsystems (derzeit v1.0.15d SP2.6d r3649) zu aktualisieren. Die Shopversion GX2 ist von der Problematik nicht betroffen. Die benötigten Updates erhalten die Nutzer des Gambio Shopsystems im Kundenbereich bei Gambio (www.gambio-support.de) unter Downloads.

Aus Sicherheitsgründen möchten wir an dieser Stelle keine genaueren Informationen zu betroffenen Versionen des Shopsystems und keine Details zur Schwachstelle veröffentlichen. Wir bitten hierfür um Verständnis. Es sollte aber klar sein, dass die Verwendung einer aktuellen Software bzw. die Anwendung von angebotenen Updates ein absolutes Muss ist. Das Nutzen einer veralteten Shopsoftware ist ein absolut verantwortungsloses Verhalten. Das Problem liegt in diesem Fall auch nicht bei den Entwicklern des Shopsystems. Die Jungs von Gambio leisten sehr gute Arbeit und legen sehr großen Wert auf die Sicherheit ihrer Nutzer. Die Betreiber der Onlineshops und auch in vielen Fällen deren IT-Dienstleister, sollten hier ein wenig mehr Bewusstsein für die Sicherheit aufbringen und wichtige Updates beachten.

Ein ähnliches Problem gab es kürzlich mit der Shopsoftware osCommerce. Auch hier haben unzählige Shopbetreiber diverse Updates versäumt. Das Ergebnis waren tausende kompromittierte Onlineshops, die Besucher mit Schadsoftware überraschten.

Allgemeine Informationen zum Update:

Um die Version des aktuell verwendeten Shopsystems herauszufinden, müssen Sie sich in die Administration Ihres Shops einloggen. Im oberen Menü der Administration klicken Sie einfach auf "Credits".

Auf der aufgerufenen Seite sehen Sie die Versionsnummer des Shopsystems. Vergleichen Sie diese bitte mit der aktuellsten Versionsnummer bei Gambio (aktuell: v1.0.15d SP2.6d r3649). Auf der folgenden Grafik handelt es sich zum Beispiel um eine veraltete Version (v1.0.15c SP2.6c r3430). Die Grafiken dienen lediglich einer Demonstration. Die abgebildete Versionsnummer ist nur als Beispiel anzusehen. Es bedeutet nicht, dass speziell diese Version anfällig ist.

Nun loggen Sie sich in den Gambio Kundenbereich ein (www.gambio-support.de) und wählen Sie im oberen Menü "Downloads". Im linken Menü können Sie nun das Shopsystem "Gambio GX" auswählen. In unserem Beispiel benötigen wir nun das Servicepack 2.6d, welches für die Version 1.0.15c bestimmt ist. Dies erkennen wir an der jeweiligen Beschreibung.

Laden Sie die für Sie bestimmten Updates herunter und folgen Sie den Installationsanweisungen. Achten Sie darauf, dass die Updates in ihrer Reihenfolge installiert werden. Details entnehmen Sie bitte den jeweilig beiligenden Anleitungen.

Für unerfahrene Nutzer empfehlen wir, die Updates von einer Agentur oder direkt von Gambio durchführen zu lassen. Dies ist zwar meist mit Kosten verbunden, welche aber mit Sicherheit geringer ausfallen sollten, als der Schaden, der Ihnen und Ihren Kunden bei einem Übergriff entstehen könnte.

Beachten Sie bitte, dass auch das Deaktivieren bzw.  das "Offline schalten" der Shopsoftware keine Lösung für das Problem ist. Selbst wenn der Shop deaktiviert ist und die Wartungsseite erscheint, ist ein Übergriff bzw. das Ausnutzen der Schwachstelle möglich. Es bringt also nicht wirklich viel, den Shop offline zu schalten und abzuwarten.