Sicherheitslücken im Shopsystem Bigwareshop

Sicherheitslücken im Shopsystem Bigwareshop

Vor wenigen Tagen haben wir eine Sicherheitsprüfung des Shopsystems "Bigwareshop" durchgeführt, welche ein ernüchterndes Ergebnis lieferte. Diverse Schwachstellen im Open Source Shopsystem von Bigware stellen eine erhebliche Bedrohung für alle Shopbetreiber, die diese Software für den eigenen Onlineshop nutzen, dar. Die von uns aufgedeckten Sicherheitslücken könnten von einem böswilligen Angreifer dazu ausgenutzt werden, in das System einzudringen und die Kontrolle über den Onlineshop, sowie über sämtliche Datenbanken des jeweiligen Benutzers zu erreichen. ...

Wir sind bei einer Recherche über einen Fehler des Shopsystems gestoßen, welcher für ausreichend Gründe zu einer Sicherheitsprüfung sorgte. Als wir uns ein wenig genauer mit dem Shopsystem "Bigwareshop" in der aktuellen Version beschäftigten, kamen immer mehr Bugs zum Vorschein. Die darauf folgende Sicherheitsprüfung brachte ein sehr ernüchterndes Ergebnis. Neben diversen Fehlermeldungen, die durch Manipulation der Parameter und zum Teil auch ohne jegliches Zutun ausgelöst werden und diverse Informationen über das System preisgeben, gibt es auch kritische Sicherheitslücken die einen Angriff via SQL Injection ermöglichen. Angreifer könnten sich so, gezielten Zugriff auf die Datenbanken des Betreibers verschaffen und sämtliche, sensible Informationen, sowie Kundendaten und Umsätze auslesen.

Unter den von uns entdeckten Schwachstellen befand sich auch eine Sicherheitslücke, die bereits vor Jahren aufgedeckt und laut den Entwicklern des Shopsystems, in den darauf folgenden Versionen beseitigt wurde. Diese Sicherheitslücke lässt sich aber trotz der damaligen "Beseitigung", weiterhin aktiv ausnutzen. Die von den Entwicklern umgesetzte Sicherheitsfunktion des Shopsystems ist demnach absolut unbrauchbar und beugt in keinster Weise einem Angriff vor.

Zu den SQL Injection Schwachstellen, gibt es noch eine Reihe von weiteren Problemstellen, die es einem Angreifer ermöglichen, gezielte Phishing-Attacken durchzuführen. Durch diverse Schwachstellen im Administrationsbereich könnten zudem gezielte Angriffe mittels eingeschleuster "XSS Shell" stattfinden, was gerade für die Administratoren der Onlineshops zu einem gewaltigen Problem werden könnte. Eine einfache Mail über das Kontaktformular des Shopsystems, die mit einem präparierten Link versehen wird, wäre ausreichend um bei einem Klick des Admins auf den Link, dessen Aktivität im Backend des Shopsystems aufzuzeichen. Andere Schwachstellen des Shopsystems könnten bei entsprechendem Ausnutzen durch Angreifer, auch zur Kontrollübernahme des Computers des jeweiligen Besuchers führen.

Wir haben die Verantwortlichen bei Bigware bereits über die Problematik informiert und die durchführung einer erweiterten Sicherheitsprüfung mit ausführlichem Bericht, sowie unsere Hilfe angeboten. Wir hoffen, dass die Schwachstellen - vorallem die bereits seit Jahren bekannte Sicherheitslücke - möglichst schnell behoben werden können. Einfache Recherchen über diverse Suchmaschinen liefern mit einem eindeutigen Suchbegriff rund 5,5 Millionen Ergebnisse. Demnach ist davon auszugehen, dass durchaus viele Tausend Onlineshops von diesen Problemen betroffen sind, da die Schwachstellen in bisher allen getesteten Versionen vorhanden sind und Bigware selbst von vielen Tausend Nutzern des Shopsystems berichtet.

Wir werden natürlich an dieser Stelle über das weitere Vorgehen berichten und ggf. das erwartete Sicherheitsupdate veröffentlichen, sofern dies von den Entwicklern bereitgestellt wird.

Update 27.10.2011:
Offenbar nimmt man die Angelegenheit bei der Bigware Ltd. nicht so ganz ernst. Nachdem der Hinweis über das dortige Forum, an den Administrator und Geschäftsführer geleitet wurde, erhielt man zwar eine Antwort. Wirklich auf das Thema eingegangen, ist man aber nicht. Wenige Tage später gab es ein Update (2.1.4) der Shopsoftware Bigwareshop. Wir haben gehofft, dass dort bereits die Schwachstelle beseitigt wurde. Allerdings war diese Hoffnung unbegründet. Mit dem Update wurde die Sicherheitslücke nicht geschlossen. Auf öffentliche Nachfrage, warum man denn bei diesem Update nicht gleich auch die Schwachstelle geschlossen habe, reagierte man mit Zensur und einer Bitte, dieses Thema nicht mehr öffentlich anzusprechen.

Die Sicherheitslücke ist weiterhin vorhanden und könnte theoretisch schon tausendfach ausgenutzt worden sein. Die Entwickler bei Bigware scheint es wohl eher wenig zu interessieren. Auch die eigenen Nutzer und Kunden werden über die Problematik nicht informiert. Aus diesem Grund möchten wir an dieser Stelle eine öffentliche Warnung aussprechen. Nutzer des Shopsystems sollten sich bewusst sein, dass die Shopsoftware von Bigware in der aktuellen und früheren Version sehr kritische Sicherheitslücken beherbergt.

Update 06.12.2011:
Bald ist es 2 Monate her, dass die Sicherheitsprobleme bei den Verantwortlichen der Bigware Ltd. gemeldet wurden. Leider ist bis jetzt kein Sicherheitsupdate verfügbar und bei Bigware wird auch nicht über Sicherheitsprobleme gesprochen. Man ignoriert das Problem einfach und riskiert dabei mit vollem Bewusstsein, dass unzählige Onlineshops da draußen gehacked werden könnten. Dieses Verhalten der Verantwortlichen ist absolut unterstes Niveau und sollte rechtliche Konsequenzen haben. Das BSI bzw. Bürger-CERT wurde bereits über die Problematik informiert und gebeten, eine öffentliche, technische Warnung herauszugeben. Man wartet hier noch auf eine Antwort. Shopbetreiber die derzeit noch das Shopsystem von Bigware verwenden, sollten möglichst auf ein anderes Shopsystem umsteigen. Es gibt bei weitem bessere Shopsysteme, die ebenfalls kostenfrei erhältlich sind (xtc-modified, Gambio GX2, Webs Shop usw...). Das Shopsystem Bigwareshop ist auf jeden Fall keine gute (sichere) Wahl.

Update 19.12.2011:
Nach über 2 Monaten hat man es bei der Bigware Ltd. dann doch mal geschafft, ein Update zu veröffentlichen. Das Update der Shopsoftware Bigwareshop, auf die Version 2.1.5 ist seit gestern auf der Website Bigware.de erhältlich. Shopbetreiber, die das Shopsystem Bigwareshop verwenden, sollten dringend das Update einspielen. Warum man bei Bigware nun doch noch ein Sicherheitsupdate herausgebracht hat, liegt wahrscheinlich an der besonderen Aufmerksamkeit des BSI (Bundesamt für Sicherheit in der Informationstechnik). Das BSI hat wie immer schnell auf die Hinweise reagiert und mitgeteilt, dass man bezüglich der Sicherheitsprobleme des Bigware Shopsystems, noch einmal auf die Bigware Ltd. zugehen werde. Warum man bei Bigware aber über 2 Monate braucht, um derart gravierende Sicherheitslücken zu schließen, kann man hier leider nicht nachvollziehen. Für eine bestimmte SQL Injection Schwachstelle, welche bis zur Version 2.1.4 vorhanden war, gab es sogar seit fast 3 Jahren einen öffentlichen Exploit.

Hier gibt es das Update für das Shopsystem Bigwareshop (Version 2.1.5)

Update 24.12.2011:
Zu früh habe ich mich gefreut. Zunächst war ich der Meinung, die Schwachstellen wurden mit dem Update zur Version 2.1.5 geschlossen. Eine genauere Nachkontrolle mit einer Update-Version, eine Neuinstallation, sowie dem Demo-Shop direkt bei Bigware brachte ein vernichtendes Ergebnis. Die Schwachstellen können weiter ausgenutzt werden. Via SQL Injection ist weiterhin ein Zugriff auf die Datenbank und somit das Ausspähen der gespeicherten Informationen über Kunden, Einkäufe, Kontodaten usw. möglich.

Da es Bigware nun nach Jahren nicht geschafft hat, höchst kritische Sicherheitslücken in deren Shopsystem zu schließen, möchte ich eine öffentliche Warnung aussprechen und die Shopbetreiber bitten, das Shopsystem zu wechseln. Wer einen Onlineshop eröffnen möchte, sollte sich nach einer alternativen Shopsoftware umsehen, die von Leuten entwickelt wird, welche Ahnung von der Materie haben und nicht nur im Code rumfrickeln. Das sind harte Worte, aber es ist nunmal die Wahrheit. Es besteht eine sehr hohe Gefahr für Shopbetreiber und Kunden, daher sollte man hier keine besänftigenden Worte nutzen.

Na dann, frohe Weihnachten allerseits.