Angreifer sind in die Server des Anbieters von Online-Shop-Software FishPig eingestiegen und haben die Software mit Schadcode verseucht. Kriminelle können nun über eine Hintertür auf mit der Software erstellte Shops auf Magento-Basis zugreifen. Mittlerweile gibt es Sicherheitsupdates und eine Anleitung zur Enterung der Hintertür. FishPig kommt unter anderem auf WordPress-Websites zum Einsatz. Wie viele Shops konkret betroffen sind, ist derzeit unklar.
Wenn von Angreifern manipulierte Software in anderen Projekten zum Einsatz kommt, sind auch diese verwundbar. In diesem Fall spricht man von einer Supply-Chain-Attacke, weil die Lieferkette der Ursprung des Übels ist.
Davon sollen alle FishPig-Magento-2-Module betroffen sein. Die freien Erweiterungen auf Github seien nicht betroffen. Der unrechtmäßige Zugriff soll am oder vor 19. August 2022 geschehen sein. Wer die Software danach heruntergeladen und damit einen Onlineshop aufgesetzt hat, hat sich mit hoher Wahrscheinlichkeit die Rekoobe-Malware eingefangen. Darüber nisten sich Angreifer auf Servern ein und können darauf zugreifen.
Quelle: heise
Wenn von Angreifern manipulierte Software in anderen Projekten zum Einsatz kommt, sind auch diese verwundbar. In diesem Fall spricht man von einer Supply-Chain-Attacke, weil die Lieferkette der Ursprung des Übels ist.
Zugriff via Hintertür
Darauf sind Sicherheitsforscher von Sansec aufmerksam geworden. FishPig hat den Vorfall inzwischen bestätigt und ein Statement veröffentlicht. Demzufolge konnten unbekannte Angreifer auf nicht näher beschriebenem Weg auf FishPig.co.uk und das Extension-License-System zugreifen. Im Zuge dessen haben sie Schadcode auf PHP-Basis in der Helper/License.php-Datei platziert.Davon sollen alle FishPig-Magento-2-Module betroffen sein. Die freien Erweiterungen auf Github seien nicht betroffen. Der unrechtmäßige Zugriff soll am oder vor 19. August 2022 geschehen sein. Wer die Software danach heruntergeladen und damit einen Onlineshop aufgesetzt hat, hat sich mit hoher Wahrscheinlichkeit die Rekoobe-Malware eingefangen. Darüber nisten sich Angreifer auf Servern ein und können darauf zugreifen.
Was tun?
In seinem Statement zeigt FishPig, wie Admins infizierte Shops erkennen können. Außerdem sollten sie die Software zügig aktualisieren. Ist das erfolgt, soll die Backdoor nach einem Neustart verschwunden sein.Quelle: heise