Kritische Sicherheitslücke im OXID eShop

Im Online-Shop unseres Kunden Trend-Waesche.de wurden am Wochenende zwei auffällige Bestellungen getätigt, bei denen Kunden mit Hilfe von Gutscheinen den Bestellwert drastisch reduziert haben. Das Auffällige dabei: Die Gutscheine waren noch gar nicht verteilt worden. Woher konnten die Käufer also die Gutscheine haben? Hacker im OXID eShop?

Wir machten uns auf die Suche und forschten in den Webserver Logfiles nach der Ursache des Problems. Es stellte sich heraus, dass es kein Brute-Force Angriff durch Ausprobieren von Ziffern- und Buchstabenkombinationen war, sondern dass zielgenau sofort die richtigen Gutschein-Codes eingetragen wurden.

Wir schauten uns daraufhin die Gutschein Generierung näher an, und stellten dabei blitzschnell fest, dass die Gutschein Export-Datei nach der Generierung auf dem Server stets auf einem Standard-Pfad abgelegt wird, der da heißt: http://www.shopname.com/export/oxexport.csv

Dieser Dateipfad ist von Haus aus öffentlich zugänglich und ist ohne Passwort-Schutz oder sonstige Schutzmechanismen von Dritten sofort einsehbar und abrufbar. Dies müssen auch die Angreifer auf den Trend-Wäsche Online-Shop bemerkt haben. Sie waren der Referer-Auswertung zur Folge direkt von der Referenz-Liste der OXID eSales AG auf den Kunden Shop für Damen- und Herren-Unterwäsche gelangt. Ein Indiz dafür, dass eine OXID Referenz nach der anderen durch die Angreifer aufgerufen wurde, um nach auf dem Server abgelegten Gutschein-Codes zu suchen.

Stichprobenartig checkten wir die Logfiles anderer Shops und stellten fest, dass auch dort, übrigens von der gleichen Angreifer-IP, versucht worden war die oxexport.csv aufzurufen.

Alle Export-Dateien, die bei generischem Export im OXID eShop erzeugt werden, werden als oxexport.csv gespeichert. Wenn also nun gerade der letzte getätigte Export ein Gutschein-Export war, dann konnte es passieren, dass diese Datei ewig und ohne die aktive Kenntnis des Shop-Betreibers über diese URL abrufbar war.

Wir stuften dies als kritische Sicherheitslücke ein und veröffentlichten diese als Bug Nr. 0001196 im OXID Bug-Tracker.

Vom Support der OXID eSales AG kam der folgende lapidare Hinweis zurück: „als einfache aber effektive Methode zum Schutz des Exports empfehlen wir, eine adäquate .htaccess im Export-Verzeichnis.“

Mit dieser Antwort wollten wir uns jedoch nicht zufrieden geben, sondern erwiderten:
Das ist UNS klar – aber was ist mit den vielen 1.000 anderen OXID Usern?

Sie sollten Ihre Kunden und OpenSource-Nutzer informieren, denn ich kann anhand meiner Logfiles sehen, dass derzeit ausgehend von der OXID Homepage ein Referenz-Shop nach dem nächsten angeklickt wird, um nach der oxexport.csv zu suchen und dann im Shop vergünstigt einzukaufen.

Das kann doch nicht im Interesse von OXID sein!

Es ist übrigens keine gute Idee, den Export-Ordner einfach mit Passwort zu schützen, weil dann auch der generische Export oder die Exporte zu Froogle und Co. nicht mehr ohne weiteres funktionieren.

Meiner Meinung sollten Sie:

  • beim Export der Gutscheine den Standard-Pfad so vorgeben, dass dieser eben nicht übers Web aufrufbar ist, bzw. dort einen Sicherheits-Hinweis platzieren, oder zumindest den Dateinamen jeweils zufällig erzeugen, damit dieser nicht durch Angreifer leicht zu erraten ist.
  • zusätzlich dann noch eine „Lösch-Taste“ im Admin anbieten, damit nach dem Export die Datei wieder vom Server entfernt werden kann, ohne dass man dafür ein ftp-Programm bemühen muss.
  • alternativ könnte man die Gutscheine vielleicht über den admin-controller ausgeben, so dass die Gutscheine nur im Passwort-geschützten Bereich von Shop-Admins abrufbar sind. Das wäre wohl die optimal-Lösung

Unseren Kunden haben wir empfohlen, Strafanzeige gegen die Hacker zu stellen.

Als Softwarehersteller sollten Sie nun die Lücke schließen.

Ende der Mail an OXID.

Nun sind nicht nur Gutscheine von dem Problem betroffen, sondern es könnte auch passieren, dass dort Kunden-Datensätze oder Newsletter-Empfänger etc. ungeschützt zum Download für Datensammler bereitliegen. Gerade bei der aktuellen Diskussion zum Thema Datenschutz und Datenklau ist es ein Unding, den OXID eShop standardmäßig so ungeschützt auszuliefern. Es ist für mich jedenfalls nicht nachvollziehbar, dass OXID da nicht reagiert.

Inzwischen habe ich erfahren, dass diese Lücke bereits seit Monaten bekannt ist – schließlich ist das Verhalten identisch in der alten 3.0.4.1 Version (und vermutlich noch davor) sowie in der Enterprise 2.7.0.1 aber auch in der allerneusten CE/PE/EE 4.1.4. Ich hoffe, dass OXID kurzfristig Abhilfe bereitstellt. Die Shops der durch top concepts betreuten Kunden sind bereits gepatcht worden.

Henrik Steffen, top concepts, OXID Certified Solution Partner

2 Responses to Kritische Sicherheitslücke im OXID eShop

  1. Pingback: OXID eShop – Kritische Sicherheitslücke | below-zero.de

  2. Pingback: 2010 in review « Weblog von top concepts

Schreibe einen Kommentar

Bitte logge dich mit einer dieser Methoden ein, um deinen Kommentar zu veröffentlichen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: