Angreifer knacken Gambio-Webshops – Updates verfügbar

Das Unternehmen Gambio, das die gleichnamige Webshop-Software entwickelt, hat Ende vergangener Woche Sicherheitsupdates veröffentlicht. Gambio empfiehlt Shop-Betreibern dringend, die Aktualisierungen anzuwenden. Cloud-gehostete Shops wurden kompromittiert, zudem auch On-Premises-Installationen.

Das lässt sich einem Foreneintrag bei Gambio entnehmen. Demnach gibt es ein Security-Update 2026-03 v1.1 für Gambio-Versionen von 4.0 bis 4.9 und höher. Insgesamt handelt es sich um drei Versionszweige, die jeweils ein eigenständiges Update-Paket erhalten – für Gambio v4.0 bis 4.6, für Gambio v4.7 bis v4.8 und für Gambio V4.9 und neuer. Wer ältere Gambio-Versionen einsetzt, soll auf die neueren Fassungen migrieren. Die Cloud-Fassungen hat der Hersteller den eigenen Angaben zufolge bereits aktualisiert. Ein erster Patch, Version 1.0 des Sicherheitsupdates, hatte offenbar Probleme mit den Shops verursacht, in denen er angewendet wurde. Gambio hat daher eine v1.1 hinterhergeschoben, die ohne weitere Symptome die Schwachstelle ausbessern soll.

Das Update zum Update hat bei einigen Shopbetreibern offenbar für Verwirrung gesorgt, aber inzwischen fasst der initiale Beitrag in dem Gambio-Forum die Situation korrekt zusammen und nennt auch Abhilfe für den Fall, dass der Patch v1.0 Störungen im Shop-System verursacht.

Offenbar erfolgreiche Angriffe auf Gambio-Shops

Zunächst nicht öffentlich, sondern lediglich in E-Mails an Kunden, hat Gambio beobachtete Angriffe auf die Schwachstellen eingeräumt. Anscheinend installieren die bösartigen Akteure eine Datei auf dem System und kompromittieren es damit. Das legt ein gelöschter Beitrag in dem Forum nahe, der mittlerweile gelöscht wurde. Weil weitere Foristen geantwortet haben, kann der Text noch eingesehen werden. Er legt nahe, dass Gambio konkrete Indizien für erfolgreiche Angriffe (Indicators of Compromise, IOC) kennt. Weiteren Posts zufolge legen die Angreifer im „Theme“-Ordner einen neuen Unterordner an – an einer Stelle wird von einem Scan aus dem Internet auf einen Ordner namens „gx_se_cache“ geschrieben.

Weitere Hinweise auf erfolgreiche Angriffe, die sich dort finden, deuten auf Kopien der Shopordner wie „admin“ oder „includes“ im „Theme“-Ordner hin. Außerdem finden sich in „upload/tmp“ weitere Ordner, die eine Datei namens „cache.php“ enthalten – die gehört da ebenfalls nicht hin.

Hinweise auf konkrete Schwachstellen

In Gambio-Shopsystemen klafften den Hinweisen zufolge bis zum Sicherheits-Update 2026-03 v1.1 drei Sicherheitslecks. Übermittelte Daten etwa nach Artikelauswahl im Shop durch Kunden wurden unzureichend gefiltert, sodass ohne vorheriges Login eine SQL-Injection möglich war. Außerdem ermöglicht eine Schwachstelle demnach zumindest Denial-of-Service-Angriffe, da das System zur dynamischen Preisberechnung einige Parameter ungefiltert verwendet. Zudem soll die Erzeugung von Sicherheitsschlüsseln zur Nutzerauthentifizierung im Design-Bereich (StyleEdit) vorhersehbar gewesen sein, da sie etwa auf dem Installationszeitpunkt des Shops basierte. Die Rede ist jedoch von einem theoretischen Problem – die Lücke ist für die nun erfolgten Angriffe wohl nicht relevant.

160 Cloud-Shops angegriffen

Eine eigene Seite auf dem Gambio-Webauftritt erklärt einige Details zu den Angriffen und Schwachstellen und verlinkt FAQs für Shop-Betreiber. Allerdings verweist das Unternehmen auch dort lediglich auf die IOCs, die in den Kunden-E-Mails zu finden sind. Gegenüber heise security hat Gambio jedoch noch weitere Informationen preisgegeben. Demnach wurden rund 160 Webshops in der Gambio-Cloud attackiert. Der Hersteller hat betroffene Shop-Betreiber bereits direkt kontaktiert. Angaben zur Anzahl attackierter On-Premises-Installationen liefert Gambio nicht.

Bei der attackierten Sicherheitslücke handelt es sich um eine SQL-Injection-Schwachstelle, die Angreifer ohne vorherige Authentifizierung missbrauchen können. Die Angreifer haben in den bekannten Fällen die Kundendatenbanken ausgelesen, die Kontaktdaten, den Bestellverlauf und Passwort-Hashes umfassen. Insbesondere, wenn die Passwörter noch mit MD5 gehasht wurden, sollten sie daher als kompromittiert angesehen werden. Gambio empfiehlt jedoch, einen Passwort-Reset für alle Kunden von betroffenen Shops auszulösen. Außerdem sind der FAQ zufolge Shop-Betreiber dazu verpflichtet, Endkunden gemäß Artikel 34 DSGVO zu informieren, sollte der Shop erfolgreich attackiert worden sein.

Nicht ausgelesen wurden Gambio zufolge etwa Kreditkartennummern, Bankverbindungen und Zugangsdaten zu Payment-Providern. In der FAQ weist Gambio darauf hin, dass keine Zahlungsdaten in der Gambio-Datenbank gespeichert werden, sondern dass Zahlungen ausschließlich über externe Zahlungsanbieter abgewickelt werden.

Gambio-Shop-Betreiber sollten die Aktualisierungen umgehend installieren. Möglicherweise finden sich die Hersteller-E-Mails mit den konkreteren IOCs im Spam-Ordner. Dort sollten Kunden einmal suchen, die die E-Mail bislang nicht gesehen haben, und ihre Systeme auf erfolgreiche Angriffe basierend auf den Hinweisen in der E-Mail untersuchen.

Gambio-Webshops standen Ende vergangenen Jahres bereits im Visier von Angreifern. Dort wurde der Fall des gekaperten „Fänshop“ von Baden-Württemberg bekannt, der vermutlich ebenfalls auf Gambio basiert.

(dmk)