IT Magazine - Exklusiv: Zahlreiche Typo3-Sites gehackt

27. April 2011 - Ein Leck in Typo3 erlaubt es Angreifern offenbar, bekannte Websites so auszunutzen, dass die Besucher via Google bei Anbietern von Pharma-Produkten landen.

In Typo3 wird derzeit offenbar ein Leck ausgenutzt, über das Angreifer Besucher der Seiten via Google auf Online Drug Stores locken können. Das bekannte Open Source CMS wird von zahlreichen Unternehmen – auch aus der Schweiz – verwendet. Wer bei Google beispielsweise Seiten wie Baselkultur.ch, Lehrstellen.ch, Nescafe.ch oder Unibas.ch gemeinsam mit zusätzlichen Suchbegriffen wie "Viagra" oder "Cialis" eingibt, findet in der Seitenbeschreibung der entsprechenden Sites einschlägige Begriffe, die man aus Pharma-Spam kennt. Bei einigen Sites landet man nach dem Klick auf das Suchresultat dann auf der gewünschten Seite (z.B. auf Nescafe.ch), bei anderen wird man auf die Online-Shops der Tabletten-Anbieter gelockt (z.B. bei Lehrstellen.ch). Offensichtlich wird Server-seitig eine Weiterleitung veranlasst, wenn der Besucher von Google kommt. Unklar ist jedoch, wie diese Server-seitigen Manipulationen auf die betroffenen Webserver kommen. Die Redaktion nimmt Leser-Hinweise gerne entgegen (redaktion@swissitmedia.ch).

Update: In der Zwischenzeit hat sich Helmut Hummel, Leiter des Typo3 Security Teams, bei "Swiss IT Magazine" gemeldet. Er macht klar, dass ihm keine Schwachstellen im Typo3-Kern bekannt seien, die zu den ausgeführten Auswirkungen führen könnten, und man habe in diesem Zusammenhang keine Anhaltspunkte, welche auf eine derartige Schwachstelle schliessen lassen würden. Gleichzeitig macht Hummel aber auch klar: "Die von Ihnen beobachtete hohe Anzahl an gehackten Typo3-Seiten könnte ein Indiz für eine bislang unbekannte Schwachstelle in Typo3 sein, muss es aber nicht." Man beobachte die Lage sehr genau, so Hummel.

Kommentare

Donnerstag, 15. Dezember 2011 TOM
Wie ich gerade bemerkt habe, sind diese Angriffe - auch nach einigen Updates im letzten halben Jahr - immer noch möglich. Ende November 2011 ist es jedenfalls bei mir geschehen. Passiert ist es in der kurzen zeit zwischen erscheinen des Core-Updates und dessen einspielen (ich war im Urlaub) Es kann gut sein, dass die Angreifer gezielt auf Veröffentlichte, aber von vielen Webmastern noch nicht augenblicklich eingespielte Updates gehen, und es sich somit nicht um EINE Lücke, sondern um verschiedene handelt.... Die abgelegten Zusatzdateien in typo3conf (include.php, default.php ...) sollte man überwachen, genau so wie die index.php (war bei mir ein SymLink und dann war's plötzlich eine reguläre Datei) Gruß TOM

Dienstag, 3. Mai 2011 Markus Zürcher
Das Problem gibt es nicht nur bei TYPO3 Seiten: https://encrypted.google.com/search?hl=de&q=site%3Arebstock-luzern.ch+cialis

Mittwoch, 27. April 2011 Jochen Weiland
Sie schreiben "Unklar ist jedoch, wie diese Server-seitigen Manipulationen auf die betroffenen Webserver kommen.". Daher passt der Titel nicht, denn es ist nicht erwiesen, dass die Änderung am Code der betroffenen Webseiten durch eine Sicherheitslücke in TYPO3 oder in einer (in der Regel von dritter Seite bereitgestellten) Erweiterung verursacht wurde. Oftmals werden Dateien durch kompromittierte FTP-Zugänge, eine unsichere Server- oder PHP-Konfiguration oder durch zusätzlich auf dem Server installierte Software, verursacht. Denkbar wäre auch, dass in der Vergangenheit veröffentlichte Sicherheitsbulletins zu TYPO3 bzw. Erweiterungen nicht beachtet und die Software ggf. nicht aktualisiert wurde. Insofern ist es voreilig, von einem Leck in TYPO3 zu sprechen, solange es dafür keine Indizien gibt.

Mittwoch, 27. April 2011 Olivier Dobberkau
Es bleibt fraglich, ob es denn eine Lücke im aktuellen TYPO3 wirklich ist. Leider ist nirgends in diesem Artikel die Versionsnummer von TYPO3 vermerkt, noch ist das Betriebssystem oder PHP Version erwähnt. In diesen Fällen sollten die "befallenen Websites" Kontakt mit dem Security Team von TYPO3 aufnehmen: security@typo3.org

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

ARTIKEL VERWALTUNG

Artikel versenden

Artikel als PDF

Druckversion

Twitter

NEUESTE

EMPFEHLUNGEN

MEIST GELESENE

•	Womit IT-Leiter und SAP-Anwender aktuell kämpfen
•	Avira-Update sorgt für rote Köpfe
•	Google will angeblich fünf Nexus-Smartphones mit Android 5.0 lancieren
•	Firefox für Android wird komplett überarbeitet
•	Unsichere Cloud-Speicherdienste: Studie rügt Dropbox, Wuala & Co.

OFFENE STELLEN

IT-Jobs
•	ICT Supporter (m/w)
•	ICT System Engineer (m/w)
•	Datenbankentwickler (m/w)
•	SAP ABAP Entwickler (m/w)
•	ICT System Administrator / Supporter (m/w)
•	Applikations-Manager (m/w)
Kaderstellen
•	Systems Management Operator
•	Personalberater IT
•	Bereichsleiter/in PKI und Sicherheitsprodukte (LZPPS12_01)
•	Consultant oder Senior Consultant/Solution Architect BusinessObjects
•	Manager, Enterprise Content Management (Financial Services)
•	Manager Data Analytics

Erweiterte Stellensuche

Name
E-Mail
Spam-Schutz Bitte übertragen Sie die dargestellte Zeichenfolge ins nebenstehende Textfeld.

•	Der Storage Solutions Day in Bildern
•	AMD fordert Intel mit neuen APUs heraus
•	Lenovo zeigt neues Ultrabook Thinkpad X1 Carbon
•	Apple iCloud: Neue Foto-Sharing-Features
•	Intel-basierte Windows-8-Tablets sollen im November erscheinen

•	Facebook macht Dropbox & Co. Konkurrenz
•	Unsichere Cloud-Speicherdienste: Studie rügt Dropbox, Wuala & Co.
•	Macbook Pro erhält angeblich Retina Display
•	Intel-basierte Windows-8-Tablets sollen im November erscheinen
•	Lenovo zeigt neues Ultrabook Thinkpad X1 Carbon