e107.org kompromittiert, Archiv mit Backdoor
Kommentare

Bogdan Calin von Acunetix hat eine Backdoor in einem Installationsarchiv
des Content-Management-Systems e107
gefunden,
inzwischen enthält auch die Startseite von e107.org
JavaScript-Schadcode

Bogdan Calin von Acunetix hat eine Backdoor in einem Installationsarchiv des Content-Management-Systems e107 gefunden, inzwischen enthält auch die Startseite von e107.org JavaScript-Schadcode für eine Drive-by-Infektion sowie Spam. Von dem Besuch der Seite mit aktiviertem JavaScript kann daher nur abgeraten werden.

Schwachstelle zu spät behoben?

Die Entwickler haben am Freitag eine nicht näher beschriebene Schwachstelle, die einen ‚very nasty exploit‘ erlaubt, behoben und dazu Version 0.7.17 veröffentlicht. Bogdan Calin vermutet, dass zu dem Zeitpunkt die mit e107 betriebene Website der Entwickler bereits kompromittiert war und die Angreifer nach der Veröffentlichung des Updates die Backdoor in das Archiv kopiert haben. Daher dürften jetzt sehr viele e107-Installationen, die zum Beheben der Schwachstelle aktualisiert wurden, die Hintertür enthalten.

Inzwischen ist das kompromittierte Archiv nicht mehr verlinkt, zum Download wird auf die Sourceforge-Seite weitergeleitet.

Installationen prüfen

Anwender, die entweder eine ältere Version (die für den ‚very nasty exploit‘ anfällig ist) oder eine kompromittierte Version 0.7.17 installiert haben, sollten Version 0.7.17 von Sourceforge herunterladen und installieren. Außerdem muss das System auf mögliche Modifikationen geprüft werden. Die Backdoor im manipulierten Archiv befindet sich ab Zeile 1876 im Skript class2.php und beginnt mit

if(md5($ _COOKIE['access-admin']) == "cf1afec15669cb96f09befb7d70f8bcb") {

Danach folgt der Code zum Entgegennehmen und Ausführen von Anweisungen der Angreifer.

Der eingeschleuste JavaScript-Schadcode auf e107.org befindet sich am Anfang der Datei, noch vor der Doctype-Deklaration.

Carsten Eilers


Einträge im Bereich „Security aktuell“: Backdoor in Archiv der Version 0.7.17 gefunden Unbekannte Schwachstelle erlaubt nicht näher beschriebenen ‚very nasty exploit‘

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -