Beobachtungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) entsprechend nutzen Angreifer derzeit verstärkt mehrere Sicherheitslücken in veralteten Versionen des Online-Shop-Systems "osCommerce" aus, um auf diesem System basierende Web-Präsenzen zu manipulieren.
Die Angreifer fügen unter Ausnutzung der Sicherheitslücken schädlichen Programmcode auf dem Shop-Server ein, welcher auf so genannte "Drive-by-Exploits" verweist. Beim Besuch eines so manipulierten Online-Shops wird automatisiert versucht, verschiedene Schwachstellen im Web-Browser, im Betriebssystem oder anderer auf dem PC des Besuchers der Website installierter Anwendungssoftware auszunutzen, um insgeheim ein Schadprogramm auf dem PC des Nutzers zu installieren.
Nach Erkenntnissen des BSI sind inzwischen etliche tausend Online-Shops weltweit betroffen, darunter auch viele deutschsprachige. Die von den Angreifern für die Manipulationen ausgenutzten Sicherheitslücken wurden bereits in der vom Hersteller im November 2010 veröffentlichten Variante osCommerce 2.3 geschlossen. Viele Online-Shops setzen jedoch immer noch ältere Versionen ein.
In der Fachpresse wurde bereits Ende Juli 2011 über diese Angriffe berichtet. Beobachtungen des BSI zufolge haben Betreiber von Online-Shops bislang jedoch nur teilweise reagiert und Manipulationen behoben sowie ein Update der eingesetzen osCommerce Software durchgeführt. Das BSI weist daher aus diesem Grund auf den akuten Handlungsbedarf hin.
Das BSI rät Betreibern von Online-Shops auf Basis von osCommerce, den Versionsstand der eingesetzten Shop-Software zu prüfen und ggf. ein Update auf die aktuellen Versionen 2.3.1 bzw. 3.0.2 durchzuführen. Wurde bisherig noch eine ältere Variante eingesetzt, sollte der Shop-Server dringend auf mögliche Manipulationen überprüft werden.
Internet-Nutzern empfiehlt das BSI, zum Schutz vor Infektionen ihres Rechners mit Schadprogrammen über Drive-by-Exploits auf die regelmäßige Aktualisierung der Signaturen des eingesetzen Virenschutzprogramms zu achten und zeitnah alle jeweilig verfügbaren Sicherheitsupdates für das Betriebssystem und Anwendungssoftware zu installieren.
Quelle: Bundesamt für Sicherheit in der Informationstechnik