Quelle:

Exklusiv: Zahlreiche Typo3-Sites gehackt

Ein Leck in Typo3 erlaubt es Angreifern offenbar, bekannte Websites so auszunutzen, dass die Besucher via Google bei Anbietern von Pharma-Produkten landen.

27. April 2011

In Typo3 wird derzeit offenbar ein Leck ausgenutzt, über das Angreifer Besucher der Seiten via Google auf Online Drug Stores locken können. Das bekannte Open Source CMS wird von zahlreichen Unternehmen – auch aus der Schweiz – verwendet. Wer bei Google beispielsweise Seiten wie Baselkultur.ch, Lehrstellen.ch, Nescafe.ch oder Unibas.ch gemeinsam mit zusätzlichen Suchbegriffen wie "Viagra" oder "Cialis" eingibt, findet in der Seitenbeschreibung der entsprechenden Sites einschlägige Begriffe, die man aus Pharma-Spam kennt. Bei einigen Sites landet man nach dem Klick auf das Suchresultat dann auf der gewünschten Seite (z.B. auf Nescafe.ch), bei anderen wird man auf die Online-Shops der Tabletten-Anbieter gelockt (z.B. bei Lehrstellen.ch). Offensichtlich wird Server-seitig eine Weiterleitung veranlasst, wenn der Besucher von Google kommt. Unklar ist jedoch, wie diese Server-seitigen Manipulationen auf die betroffenen Webserver kommen. Die Redaktion nimmt Leser-Hinweise gerne entgegen (redaktion@swissitmedia.ch).

Update: In der Zwischenzeit hat sich Helmut Hummel, Leiter des Typo3 Security Teams, bei "Swiss IT Magazine" gemeldet. Er macht klar, dass ihm keine Schwachstellen im Typo3-Kern bekannt seien, die zu den ausgeführten Auswirkungen führen könnten, und man habe in diesem Zusammenhang keine Anhaltspunkte, welche auf eine derartige Schwachstelle schliessen lassen würden. Gleichzeitig macht Hummel aber auch klar: "Die von Ihnen beobachtete hohe Anzahl an gehackten Typo3-Seiten könnte ein Indiz für eine bislang unbekannte Schwachstelle in Typo3 sein, muss es aber nicht." Man beobachte die Lage sehr genau, so Hummel.
(mw)

Kommentare

Wie ich gerade bemerkt habe, sind diese Angriffe - auch nach einigen Updates im letzten halben Jahr - immer noch möglich. Ende November 2011 ist es jedenfalls bei mir geschehen. Passiert ist es in der kurzen zeit zwischen erscheinen des Core-Updates und dessen einspielen (ich war im Urlaub) Es kann gut sein, dass die Angreifer gezielt auf Veröffentlichte, aber von vielen Webmastern noch nicht augenblicklich eingespielte Updates gehen, und es sich somit nicht um EINE Lücke, sondern um verschiedene handelt.... Die abgelegten Zusatzdateien in typo3conf (include.php, default.php ...) sollte man überwachen, genau so wie die index.php (war bei mir ein SymLink und dann war's plötzlich eine reguläre Datei) Gruß TOM
Donnerstag, 15. Dezember 2011, TOM

Das Problem gibt es nicht nur bei TYPO3 Seiten: https://encrypted.google.com/search?hl=de&q=site%3Arebstock-luzern.ch+cialis
Dienstag, 3. Mai 2011, Markus Zürcher

Sie schreiben "Unklar ist jedoch, wie diese Server-seitigen Manipulationen auf die betroffenen Webserver kommen.". Daher passt der Titel nicht, denn es ist nicht erwiesen, dass die Änderung am Code der betroffenen Webseiten durch eine Sicherheitslücke in TYPO3 oder in einer (in der Regel von dritter Seite bereitgestellten) Erweiterung verursacht wurde. Oftmals werden Dateien durch kompromittierte FTP-Zugänge, eine unsichere Server- oder PHP-Konfiguration oder durch zusätzlich auf dem Server installierte Software, verursacht. Denkbar wäre auch, dass in der Vergangenheit veröffentlichte Sicherheitsbulletins zu TYPO3 bzw. Erweiterungen nicht beachtet und die Software ggf. nicht aktualisiert wurde. Insofern ist es voreilig, von einem Leck in TYPO3 zu sprechen, solange es dafür keine Indizien gibt.
Mittwoch, 27. April 2011, Jochen Weiland

Es bleibt fraglich, ob es denn eine Lücke im aktuellen TYPO3 wirklich ist. Leider ist nirgends in diesem Artikel die Versionsnummer von TYPO3 vermerkt, noch ist das Betriebssystem oder PHP Version erwähnt. In diesen Fällen sollten die "befallenen Websites" Kontakt mit dem Security Team von TYPO3 aufnehmen: security@typo3.org
Mittwoch, 27. April 2011, Olivier Dobberkau

Artikel kommentieren