JTL informiert über die kritische Sicherheitslücke in JTL-Shop3 und JTL-Shop4

JTL hat nach der initialen Hot-Fix Mail vom 24.11.2017 nun auch gestern noch eine Information an alle JTL-Shop-Kunden veröffentlicht, die wir auch unseren Kunden nicht vorenthalten wollen. JTL bzw. deren Geschäftsführer Thomas Lisson schreibt:

Wie wir unseren JTL-Shop-Kunden bereits am Freitag, den 24.11. mitteilten, fand in der vorletzten Woche ein gezielter Angriff auf einen einzelnen JTL-Shop statt. Der Betroffene informierte uns umgehend, sodass wir gemeinsam Gegenmaßnahmen ergreifen konnten. Noch am folgenden Tag konnten wir allen JTL-Shop-Kunden einen Hotfix für die genutzte Lücke in der Shopsoftware liefern.

 

Hintergründe der Tat
Allem Anschein nach handelte es sich bei dem Angriff um einen gezielten Versuch, Zugang auf die Datenbank des JTL-Shops zu erlangen. Den Angreifern gelang es, die E-Mail-Adressen und Teile der Adressdaten der Käufer auszulesen. In Folge erhielten die betroffenen Käufer eine Mail mit dem Hinweis, dass der Betreiber trotz Hinweis versäumt hat, die gefundene Schwachstelle zu schließen. Nach Rücksprache mit dem Betreiber zeigte sich jedoch, dass es eine solche Information nie gegeben hat. Hintergrund des Angriffs, so vermuten wir, bilden mögliche finanzielle Interessen der Angreifer.

Da es sich bei diesem Eindringen in die Software um einen Straftatbestand handelt, wurde die Polizei hinzugezogen und rechtliche Schritte eingeleitet. Bitte verstehen Sie, dass wir aufgrund der laufenden Ermittlungen keine konkreteren Details zum Ablauf der Tat geben können.

 

Folgen des Angriffs
Wir können jedoch mitteilen, dass nach unserem Kenntnisstand, abgesehen von der Verletzung der Datensicherheit, kein weiterer Schaden auf Seite der Käufer entstanden ist. Wir haben umgehend nach der Information durch den Betreiber reagiert und die mögliche Schwachstelle in der Software geschlossen. Sollten Sie die von uns zur Verfügung gestellten Hotfixes bislang nicht aufgespielt haben, empfehlen wir, dies so zeitnah wie möglich nachzuholen. Die Dateien sowie die von uns angeratene Vorgehensweise finden Sie hier: Newsletter Hotfix für JTL-Shop 3 & 4

Außerdem gehen wir davon aus, dass sich die Zahl der Betroffenen auf die Kunden des Shopbetreibers beschränkt. Diese wurden bereits von ihm informiert.

Zusätzlich haben wir in der vergangenen Woche weitere Sicherheitsupdates für JTL-Shop 4.05.5 und 4.06.2 veröffentlicht. Diese sind unabhängig vom Angriff des 23.11. und dienen der präventiven Sicherheitsverbesserung an anderen Stellen der Shopsoftware. Ältere JTL-Shop-Versionen sind hiervon nicht betroffen.

 

Wir ziehen Konsequenzen
Der Angriff zeigt uns, dass wir auch in Zukunft in unseren Bemühungen um die Sicherheit von JTL-Produkten nicht nachlassen dürfen. Neben internen Sicherheitstests und geschultem Personal nutzt JTL-Software externe Security Audits, um stets bestmögliche Vorkehrungen gegen Exploits und Angriffe von außen zu treffen. Auch in Zukunft werden wir unsere Berater JTL-Produkte gezielt auf potenzielle Angriffsflächen prüfen lassen, um sie noch besser zu schützen. Wir bitten um Ihr Verständnis, dass trotz dieser Anstrengungen keine Software als 100 Prozent sicher gelten kann, wir uns in einem Schadensfall jedoch schnellstmöglich um eine Lösung des Problems kümmern.

Abschließend bitten wir Sie, die durch diesen Angriff entstandenen Unannehmlichkeiten zu entschuldigen. Seien Sie versichert, dass wir den Vorfall ernst nehmen und uns auch um langfristige Vorkehrungen bemühen.

 

Mit freundlichen Grüßen

Thomas Lisson
Geschäftsführer, JTL-Software

In den CMO-Hostings und bei Kunden mit aktivem Service-Vertrag wurden die betroffene Datei umgehend entfernt. Wir empfehlen allen Kunden, die das Upload-Modul in ihrem Shop verwenden, die oben angegebenen Sicherheitspatches zu installieren oder durch uns installieren zu lassen. Unterstützung bekommen sie durch CMO über unser Ticket-System.