Bigwareshop: Sicherheitslücken weiter vorhanden

Bigwareshop: Sicherheitslücken weiter vorhanden

Ich möchte mit diesem Beitrag erneut eine öffentliche Warnung bezüglich der Shopsoftware Bigwareshop aussprechen. Die Entwickler des Shopsystems "Bigwareshop" ignorieren seit Monaten höchst kritische Sicherheitslücken (SQLi, bSQLi, XSS & Co.) in deren Shopsoftware. Bereits im Oktober 2011 habe ich über die Problematik berichtet, jedoch blieben die Sicherheitslücken selbst nach 3 Updates der Shopsoftware weiter unbehoben. Man reagiert auch seit Monaten nicht mehr auf Anfragen bezüglich der Sicherheitsproblematik des Shopsystems und weiteren Updates...

Wie fahrlässig man als Entwickler einer Software, mit den Daten der Nutzer und deren Kunden umgehen kann, erlebt man hier ja bei diversen Unternehmen oft recht ausgeprägt. Bigware - die Entwickler des Shopsystems Bigwareshop - legen die Messlatte aber gewaltig hoch. Bereits vor über einem halben Jahr habe ich die Geschäftsführung der Bigware Ltd. über höchst kritische Sicherheitslücken in deren Shopsystem informiert und nach dem ersten Kontakt - nachdem man mir zunächst mit einer herabwertenden Antwort entgegen kam - auch gleich ein PoC, sowie weitere Informationen übersandt. Da das Shopsystem "Bigwareshop" - obwohl es bereits ein wenig aus der Mode gekommen ist - noch immer von vielen Shopbetreibern verwendet wird und selbst der eigene Onlineshop der Bigware Ltd. dieses System verwendet, war eine schnelle Beseitigung der Problematik von höchster Priorität. Immerhin waren von der Sicherheitslücke auch viele Shops betroffen, die Kundendaten, Kontodaten und selbst Kreditkartendaten in den Datenbanken speichern und somit als potentielles Ziel mit riesiger Hintertür nur darauf warten konnten, dass ein Hacker bei ihnen "einsteigt" und mal eben die Datenbank samt sensibler Informationen kopiert.

Was dann aber passierte, will man im ersten Moment gar nicht glauben. Ein erstes Update erschien einige Tage nach dem Hinweis auf die Sicherheitslücken. Ich habe mich bereits gefreut, dass man die Sache gleich angegangen ist. Pustekuchen... Bei diesem Update hat man die Sicherheitslücken erst gar nicht behandelt. Man hat das Ganze einfach mal nach hinten geschoben. Auf Nachfrage bei Herrn Friedrich K. (Geschäftsführer der Bigware Ltd.) per Mail, warum man denn nicht gleich die bereits bekannten Schwachstellen beseitigt hat, hieß es nur: "Das Update 2.1.4 lag bereits schon fertig in der Schublade und wurde daher so veröffentlich wie es jetzt ist." Gut, das Update war dann also schonmal nichts. Einige Zeit später - nachdem selbst das BSI über die Problematik und die Unbelehrbarkeit der Bigware Ltd. unterrichtet und gleichzeitig um Hilfe gebeten wurde - erschien das Update 2.1.5 - ein Sicherheitsupdate der Shopsoftware Bigwareshop. Super - dachte ich mir im ersten Moment - da haben die Herren bei Bigware dann doch mal die Kurve gekriegt. Aber... wieder Pustekuchen. Bigware hat zwar ein Sicherheitsupdate herausgegeben und behauptet, die genannten Schwachstellen wären damit beseitigt (selbst ein Leser von Sicherheit-Online konnte keine Schwachstelle mehr nachvollziehen), jedoch war das Spiel noch nicht ganz vorbei. Ich habe mich hingesetzt, das Update eingespielt, nochmal ein wenig nachgeguckt und siehe da: Die Sicherheitslücken waren weiterhin vorhanden. Ein kleiner Trick war nötig, um sie weiterhin ausnutzen zu können, aber für einen Hacker mit Köpfchen wäre dies keinesfalls eine Hürde.

Also, nochmal den Herrn K. von Bigware kontaktiert und über die weiterhin vorhandenen Schwachstellen informiert. Leider wollte man mir keinen Glauben schenken. Man behauptete, dass die Sicherheitslücken nicht mehr vorhanden wären und meine Aussagen falsch seien. Man wurde mir gegenüber ein wenig - nennen wir es - unfreundlich und verlangte von mir, dass ich die negative Berichterstattung einstellen solle. Ich wollte dies natürlich nicht auf mir sitzen lassen, schließlich weiß ich wovon ich spreche und wenn ich sage "Da ist ne Lücke", dann ist da auch eine. Ich habe also - um meine Aussage zu bestätigen - angeboten, dass man ein Shopsystem mit der aktuellsten Version installiert und ich dann die - von der Bigware Ltd. behauptet beseitigten - Sicherheitslücken ausnutze und einen Auszug aus der Datenbank präsentiere. Daraufhin hieß es, dass aktuell kein Shop dafür verfügbar wäre, sich aber der Testshop anbieten würde. Also habe ich mich an die Arbeit gemacht und die 2 Minuten investiert, um meinen Beweis (eigentlich ja lächerlich) zu sammeln und den netten Herrn Geschäftsführer von der Problematik zu überzeugen.

Ich habe das Video kurze Zeit später auf YouTube hochgeladen, um die Problematik auch öffentlich unter Beweis zu stellen, da die User des Shopsytems auch hier aufgeschlagen sind und behaupteten, ich würde lediglich gegen Bigware "wettern" und negative Beiträge schreiben, um den Entwicklern zu schaden. Wer sich dafür interessiert, kann sich das Video wie folgt einmal ansehen:


Video bei YouTube: http://www.youtube.com/watch?v=IUXRTCGbIYk

Nun, ich kann also gerne öffentlich behaupten, dass die Sicherheitslücken weiterhin vorhanden sind und man bei Bigware scheinbar nicht wirklich fähig ist, diese zu beseitigen. Herr K. (Geschäftsführer der Bigware Ltd.) behauptete ja, es wären "IT-Sicherheits-Spezialisten" gewesen, welche die Lücken beseitigt und das Shopsystem als sicher befunden haben. Dann - lieber Herr K. - waren es aber keine sehr guten Spezialisten. Was nun kommt, bestätigt meine Vermutung.

Vor etwa einer Stunde bin ich über das Portal Bigware.de gestolpert, um zu gucken, ob man auf meine damalige Nachricht nochmal geantwortet hat. Seit Monaten reagiert man auf meine Nachrichten nicht mehr und kümmert sich auch nicht sonderlich um die Sicherheitsprobleme. Die User des Shopsystems werden weiter in dem Glauben gelassen, dass die Sicherheitslücken mit den Update 2.1.5 bereits beseitigt wurden. Nun, als ich auf der Startseite bei Bigware einen neuen Beitrag mit dem Titel "Update 2.1.6 zur Bigware Shopsoftware 2.1" stieß, dachte ich meine Augen sehen nicht richtig. Natürlich war ich überzeugt davon (stark ironisch gemeint), dass die Lücken nun sicher beseitigt wurden. Ich habe mir also gleich das Update "gezogen" und mir die neuen Dateien einmal angesehen.

Sofort habe ich bemerkt, dass die Datei "main_bigware_53.php" ebenfalls ein Update erhalten hat. Zunächst fiel mir das Kinn auf den Tisch: "Hat man es dann doch noch geschafft, die Parameter abzusichern und die Lücke zu schließen?" Tja, was soll ich sagen/schreiben... Pustekuchen! Unglaublich, aber wahr: Man hat in der gleichen Datei zwar ein Captcha eingebaut, um die Bewertungen vor Bots zu schützen, aber die Sicherheitslücke blieb weiter unberührt. Unglaublich... Es ist unglaublich! Die Sicherheitslücken sind weiter vorhanden und bieten jedem Angreifer geradezu eine herzliche Einladung.

Ich möchte also an dieser Stelle erneut vor der Shopsoftware Bigwareshop - auch in der Version 2.1.6 - warnen und Shopbetreiber darum bitten, auf ein anderes System zu wechseln oder selbst die Sicherheitsprobleme zu beseitigen. Ich gehe nicht davon aus, dass man es bei Bigware noch gebacken bekommt und die Sicherheitslücken - welche zum Teil seit vielen Jahren bekannt sind - zu schließen.

Update 17.04.2012:
Vor wenigen Minuten habe ich bei Bigware.de ein weiteres Update entdeckt. Nachdem man sich bereits am 12. April zu den Sicherheitsproblemen bzw. deren Beseitigung in einem Beitrag äußerte, wollte man nun wohl den nächsten Versuch starten. Allerdings ging das Statement wohl ziemlich in die Hose, ebenso wie das aktuellste Update, zu dem ich gleich kommen werde. Zunächst möchte ich ein wenig auf das Statement vom 12. April, durch Herrn K. - Geschäftsführer der Bigware Ltd. - eingehen.

"Mit dem Update 2.1.5 haben wir angefangen uns wieder intensiver mit Sicherheitsfragen zu beschäftigen. Es gab in der Vergangenheit vereinzelte Attacken gegen Shops, die auf sogen. SQL Injections zurück geführt werden könnten."

Eigentlich sollte man denken, dass sich die Entwickler einer Shopsoftware, permanent um die Sicherheit der Anwendung kümmern und sich hierbei immer mit Sicherheitsfragen beschäftigen. Scheinbar ist das bei Bigware nicht der Fall. Da müssen erst - wie Herr K. schreibt - vereinzelt Attacken gegen Shops stattfinden, dass man dort auf die Idee kommt, man könnte die Lücken ja beseitigen. Ich denke aber, dass vielmehr die öffentliche Berichterstattung und Demonstration der Sicherheitsproblematik mit dem plötzlichen Handeln zu tun haben. Zuvor hat man sich längere Zeit nicht um derartige Probleme gekümmert.

"Es hat sich gezeigt, dass es aus Sicherheitsgründen nicht sinnvoll ist, dieses Weg weiter zu beschreiten. PHP in Versionen vor 5 bietet nicht ausreichend Möglichkeiten, um den Shop gegen Hackerangriffe wie den SQL Injections zu begegnen."

Sicherlich ist es nicht empfehlenswert, einen veralteten Server bzw. allgemein veraltete Systeme für den Betrieb eines Onlineshops zu nutzen. Allerdings ändert die eingesetzte PHP Version nichts an einer fehlerhaften und ungeschützten Shopsoftware. Die Problematik auf PHP zu schieben ist blanker Schwachsinn und schon sehr dreist. Die Shopsoftware ist das Problem, nicht PHP!

"Das Update 2.1.7 wird ein Sicherheitsupdate sein. Mit dem Update 2.1.8 wird die sogen. Buttonlösung, die vom Gesetzgeber geforderte Umformulierung des Bestellbuttons, umgesetzt. Darüber hinaus wird es weitere Änderungen/Neuerungen geben. Lasst Euch überraschen."

Nun, zunächst wäre es doch sehr wichtig, erstmal die Sicherheitsprobleme zu beseitigen. Da kann man sich die Änderungen/Neuerungen vorerst noch sparen. Was hilft mir ein Porsche der 300 km/h fährt, wenn er keine Airbags und keine Bremsen hat?! Wobei man den Bigwareshop ohnehin nicht mit einem Porsche vergleichen darf, vielleicht eher ein Fiat Panda mit rostigem Fahrgestell aus der Vorkriegszeit. Aber lassen wir die Späßchen mal...

Das Update 2.1.7 ist wie erwähnt seit gestern verfügbar. Natürlich habe ich mir die Änderungen einmal angesehen und komme zu dem gleichen Ergebnis wie zuvor. Die SQL Injection Schwachstelle ist weiter vorhanden und kann von einem Angreifer problemlos verwendet werden, um in Datenbanken zu stöbern oder bei problematischer Konfiguration des Servers auch gleich mal die Kontrolle über das System zu erreichen. Ein weiteres Update für die Tonne und keine effektive Behandlung von seit langer Zeit bekannten Sicherheitslücken. Ob überhaupt sicherheitsrelevante Besserungen mit dem Update erschienen sind, kann ich an der Stelle noch nicht sagen. Ich müsste mir die Sache nochmal genauer ansehen, jedoch ist dies fast nicht relevant, wenn die größten Sicherheitsprobleme trotzdem weiter vorzufinden sind.