Weltkonzern verteilte auf Themen-Blog zur IFA 2012 JAVA-Exploit

Wie bereits vor einigen Tagen berichtet, wird Malware auch schon mal über hochfrequentierte Webseiten verteilt. Ein aktueller Fall, über den wir heute informieren wollen, zeigt, dass dies auch ganz große Konzerne treffen kann:

Aus einem C-SIRT-Bericht geht hervor, dass http://www.samsungimaging.net/, welches das “Samsung SMART CAMERA Blog” beheimatet, Schadsoftware auslieferte. Eine Recherche ergab, dass diese Themen-Seite des südkoreanischen Elektronik-Konzerns, den kurz zuvor entdeckten JAVA-Exploit (CVE 2012-4681)wir berichteten – mittels Drive-by-Exploit verteilte:

Ob diese Kompromottierung über eine ungepatchte Sicherheitslücke in der verwendeten WordPress-Software möglich wurde, oder sich die Cracker über ausgespähte oder einfach zu erratende Zugangsdaten (z.B. mittels Bruteforce-Attacke gegen den FTP-Service des WebServers) Zutritt verschafften, ist zum Zeitpunkt dieses Beitrags noch ungeklärt. Das Java-Applet mit der schädlichen Fracht wurde jedoch mittlerweile entfernt.

Besonders brisant: Die Kompromittierung der Webseite fand zu einem denkbar schlechten Zeitpunkt statt. Nahezu zeitgleich fand in Berlin, die IFA – die weltgrößte Fachmesse für Unterhaltungs- und Gebrauchselektronik – statt, auf der auch Samsung vertreten war und auf dem Corporate-Blog über seine Neuheiten und die Messe berichtet!

Tipps an WebSeiten-Betreiber:

  • Setzen Sie ein Content Management System, wie z.B. WordPress, Joomla, Drupal oder OSCommerce ein? Prüfen Sie bitte regelmäßig ob für Ihre Software Updates und Sicherheits-Patches zur Verfügung stehen. Viele dieser Programme visualisieren, das Vorhandensein neuer Produktversionen innerhalb der Admin-Oberfläche und bieten teilweise 1-Klick-Aktualisierung an.
  • Deaktivieren Sie nicht genutzte Zugänge, wie z.B. FTP-Accounts und/oder ändern Sie Zugangspasswörter regelmäßig
  • Lassen Sie Ihre WebSeite monitoren. Melden Sie hierzu Ihre Domain z.B. bei der Initiative-S an! Wir informieren Sie kostenfrei darüber, wenn Ihre WebSeite kompromitiert wurde, noch bevor es Ihr Provider erfährt und unterstützen Sie bei der Beseitung des Problems.

Tipps an “Surfer”: