Beliebte Software zum Erstellen von Websites hat Sicherheitslücken

Der Zeta Producer ist eine Software, mit der sich Homepages im Netz erstellen und verwalten lassen. Es ist ein Baukasten und Contentmanagement-System, das von privaten Nutzern ebenso eingesetzt wird wie von kleinen und mittleren Unternehmen, die eine Homepage brauchen – das können Ärzte genauso sein wie Betreiber von Nagelstudios oder Motorrad-Werkstätten. Die Software aus Deutschland gibt es bereits seit längerem und wird vom Hersteller regelmäßig mit Updates versorgt.

Websites lassen sich verändern

Die Sicherheitsforscher der Firma SEC Consult haben im November 2017 zwei gravierende Sicherheitslücken bei der Software entdeckt. Damit wird es möglich, Websites zu verändern (in Fachsprache: „Defacement“) oder aber auch auf heikle Daten wie Passwörter zuzugreifen. Die Sicherheitsforscher veröffentlichten am Donnerstag ein entsprechendes „Advisory“ auf ihrer Website.

„Wir hatten dem Hersteller ein automatisiertes Python-Script geschickt, damit er nachvollziehen kann, wie einfach die Sicherheitslücke ausgenutzt werden kann“, erklärt Johannes Greil von SEC Consult im Gespräch mit der futurezone.

Zwei Schwachstellen in den Widgets

Die Zeta-Producer-Software hatte laut den Forschern zwei Schwachstellen. Die erste erlaubt einem Fremden Betriebssystembefehle auszuführen. „Damit lassen sich Passwörter auslesen oder Websites defacen“, so Greil. Man müsse sich dafür auch nicht als User einloggen, sondern es funktioniert ohne Authentifizierung.

Die Lücke lässt sich über die E-Mail-Kontakt-Funktionalität des Widgets „Formmailer“ ausnutzen, das standardmäßig aktiviert ist. Die zweite Schwachstelle betrifft das „File Browser Widget“, das man allerdings erst explizit aktivieren muss.

 „Der Hersteller hat zu uns keinerlei Kontakt aufgenommen, nachdem wir ihm die Dokumente zugeschickt hatten“, erklärt Greil. Man habe daher jetzt nur durch Zufall entdeckt, dass die Sicherheitsprobleme mit dem Update auf Version 14.2.1. behoben worden seien. Überprüft habe man Version 14.3.1., die beide Sicherheitslücken nicht mehr aufweist.

Software unbedingt updaten

Für Nutzer der Zeta-Producer-Software bedeutet das, dass sie auf jeden Fall die neue Version der Software installieren, sowie die entsprechenden Dateien händisch austauschen müssen, um ihre Homepage vor einem potentiellen Angriff zu schützen. „Nachdem vor allem viele kleine Unternehmen diese Software einsetzen und diese vermutlich nicht gepatcht haben, weil sie gar nicht davon Bescheid wissen, haben wir uns entschieden, den genauen Angriffsweg im Proof-of-Concept nicht zu veröffentlichen“, so Greil.

Rund 57.000 Websites weisen laut einer professionellen Google-Suche auf den Einsatz von „Zeta Producer“ hin, sind also potentiell betroffen. Die futurezone hat auch eine Anfrage an den Software-Hersteller geschickt, doch bisher keine Antwort erhalten.