Kritische Sicherheitslücke: Angreifer können Adminrechte in Oxid-E-Shop erlangen

Der deutsche Softwarehersteller Oxid Esales hat eine kritische Sicherheitslücke in dem Produkt Oxid-E-Shop geschlossen. Angreifer konnten mithilfe manipulierter HTTP-Get- und HTTP-Post-Requests Zugriff auf das Admininterface erlangen. Mittlerweile gibt es einen Patch, außerdem lässt sich das Problem auch mit einem Workaround beheben.

Die Sicherheitslücke wurde von dem Unternehmen selbst entdeckt, in mehreren Code-Audits soll sie zuvor unentdeckt geblieben sein. Betroffen sind alle Oxid-E-Shop-Produkte in der Enterprise-, Professional- und Community-Edition. Für die Sicherheitslücke wurde die CVE-2016-5072 vergeben.

Angreifer können sich in ungepatchten Systemen über das Frontend der Webseite Zugriff auf das Admininterface verschaffen und damit auf Kundendaten und die Datenbank zugreifen. Außerdem sollen Angreifer in der Lage sein, PHP-Code auszuführen oder anderen Code in das Frontend einzuschleusen.

Ältere Versionen mit Workaround absichern

Die aktuellen Versionen werden mit einem Update versorgt, das umgehend installiert werden sollte. Ältere Versionen hingegen lassen sich nur mit einem Workaround absichern.

Dazu sollte zunächst der Admin-Ordner über die htcaccess-Datei abgesichert werden. Oxid stellt dafür eine Anleitung bereit. Außerdem sollte der standardmäßig angelegte Adminnutzer ersetzt werden. Dazu muss im Admininterface zunächst ein neuer Nutzer mit entsprechenden Rechten angelegt werden. Nach einem erneuten Login mit dem neuen Benutzernamen muss an die URL der Zusatz "&cl=user_list&fnc=deleteentry&oxid=oxdefaultadmin" angehängt und mit Enter aufgerufen werden. Nach einem erneuten Login sollte überprüft werden, ob der ursprüngliche Admin-Nutzer tatsächlich entfernt wurde.

Außerdem kann die Anwendung mithilfe einer Webapplication-Firewall gegen einen Angriff abgesichert werden. Dazu hat Syseleven eine Implementation für Modsecurity entwickelt.

Disclaimer: Syseleven ist der Hoster von Golem.de.