Bij een grote aanval op webshops die op het open source framework osCommerce draaien zijn al ongeveer 100 duizend sites gehackt. Bezoekers van besmette sites worden blootgesteld aan malware door een door de aanvallers geïnjecteerd.

Ouderwetse aanval

De nog steeds voortdurende injectie-aanval lijkt afkomstig vanuit Oekraïne. Omdat de aanvallen in serie gebeuren lijkt het alsof de hackers een kwetsbaarheid in het framework gebruiken. Wayne Huang, cto bij Armorize vertelt tegen Webwerelds zusterwebsite Network World dat een aanval op websites niet ongewoon is maar dat deze specifieke aanval wel opvallend is.

De manier waarop de aanvallers de webshops met dit framework massaal met malware injecteren doet namelijk sterk denken aan een ouderwetse aanval. Drie jaar geleden kwam die aanval, met geautomatiseerde hacktools die via botnets werken, nog zeer vaak voor. Inmiddels is dat niet meer zo gewoon.

Moeilijk upgraden

Ook Huang geeft aan dat aanvallers waarschijnlijk een kwetsbaarheid in osCommerce benutten. Hij voegt aan die opmerking toe dat dit soort aanvallers vaak in de gaten houden wat er wordt gedeeld over nieuw gevonden kwetsbaarheden in software. Bovendien zou het soms moeilijk zijn om osCommerce te updaten.

Dat komt omdat in sommige zelfgemaakte lay-outs voor osCommerce bepaalde code hardcoded is opgenomen. Als die alleen correspondeert met oudere versies van de software kan een gebruiker pas upgraden als de code van het thema is aangepast.

Honderdduizenden websites

Volgens de website van osCommerce gebruiken bijna 250 duizend webshops het framework. Bijna de helft is dus al besmet door de aanvallers. In Nederland wordt de software vooral door kleinere webshops gebruikt. Sommige webhosters leveren een totaalpakket voor webshophouders gebaseerd op het framework.

Network World heeft contact opgenomen met de groep achter osCommerce. Zij waren echter niet direct beschikbaar voor een reactie.

Auteur: Uhro van der Pluijm