JTL Software hat am gestrigen Donnerstag, 04.11.2021, einen Patch bezüglich einer Sicherheitslücke für den JTL Shop 4 veröffentlicht. Dieser Patch verhindert eine SQL Injection, die ansonsten dazu führt, dass Befehle auf die Datenbank abgegeben werden können.
Unser Partner zitro.hosting und wir haben gezielt die Angriffswege analysiert und konnten die ersten Angriffe bereits auf den 29.10 datieren.
Der Ablauf des Hacks
- Über die SQL-Injection wird ein Admin-Konto im Backend angelegt und gleichzeitig die Admin-Benutzer ausgelesen
- Im Backend wird das SMTP-Kennwort für den E-Mailversand und das Sync-Passwort für die Anbindung der Wawi an den Shop ausgelesen
- Es werden in dem Bereich „Eigene Seiten“ Einstellungen vorgenommen, die wir noch analysieren
- Es wird über den Bereich „Banner“ ein PHP-Skript hochgeladen
- Über das PHP-Skript wird die Shop-Config inkl. DB-Zugangsdaten und Blowfish-Key entwendet
- Über das PHP-Skript wird die Kundentabelle (tKunde) ausgelesen
- Löschen des PHP-Skripts und löschen des Admin-Benutzers aus der Datenbank
Handlungsemfpehlung
Grundsätzlich sollten die Shops aktualisiert werden, mindestens auf Version 4.06 Build 17 sowie dem zugehörigen Patch. JTL arbeitet ebenfalls an einem neuen Update auf die Version 4.06 Build 18. Diese ist aber zum jetzigen Zeitpunkt noch nicht fertig gestellt. Bei JTL Shop 5 Kunden konnten wir die Angriffe ebenfalls erkennen, diese scheinen aber nicht erfolgreich gewesen zu sein.
Sie sollten nach dem erfolgten Absichern des Shops sämtliche Kennwörter ändern, um hier etwaige Zugriffe zu ändern. Hierzu gehören die Datenbankkennwörter, Backendbenutzer, Wawi-Sync Kennwort und das betroffene Email-Kennwort.
Weiterhin sollten Sie mit Ihrem Datenschutzbeauftragten in Kontakt treten, da vermutlich eine DSGVO-Meldung erfolgen muss.
Bei unserer Aussage handelt es sich um unsere Einschätzung und ist keine rechtlich bindende Vorgehensweise.