Alte Versionen von Akeeba Kickstart als Sicherheitsproblem

akeeba logoGeht es um die schnelle Sicherung zwischendurch bei einem Joomla, greifen ganze Heerscharen von Anwendern auf die äußerst beliebte Komponente Akeeba Backup zurück. Schnell unkompliziert und praktisch auf jedem Webspace lauffähig. Genau dieses Akeeba Backup sorgt im Moment bei einigen Hostern allerdings für Sorgenfalten auf der Stirn, denn es gibt ein durchaus ernstes Sicherheitsproblem. Zwar nicht mit der Etensions selbst, aber mit älteren Versionen der Datei "kickstart.php", über die sich Sicherungen wiederherstellen lassen. Aber immer der Reihe nach.

Stein des Anstoßes waren "Hacks" auf eigentlich aktuellen Plattformen mit einem Joomla 3.9. Bei der Suche nach dem Problem wurden in den Logfiles Einträge / Aufrufe auf eine "kickstart.php" gegeben, die scheinbar vom Benutzer vergessen wurde. Info und Datei landeten in meinem Postfach und wurden mangels Zeit an Christian von Joomla-Security und Ufuk von der Joomla-Agentur weitergeleitet. Letzt genannter hatte schnell die Lösung gefunden, die ich anschließend in einem eigenen Test bestätigen konnte. 

akeeba kickstart 2akeeba kickstart 2
Als Einfallstor für den Schadcode fungiert keine Schwachstelle in der Software, sondern eine bewusst eingebaute Funktion, die in späteren Versionen wieder entfernt wurde. Hierbei handelt es sich konkret um das "Import from URL", mit der beliebige Pakete von einem fremden Server bezogen, entpackt und dann direkt per URL aufgerufen werden können. Überschreibt man damit nicht unbedingt wichtige Dateien, können quasi beliebige andere, sogar komplexe Programme am System vorbei hinterlegt werden. 

Konkret betroffen sind mindestens die Versionen...

  • Akeeba Kickstart (Core) 5.30
  • Akeeba Kickstart (Core) 5.31
  • Akeeba Kickstart (Core) 5.40

Ab Version 5.42 wurde die genannte Funktion entfernt. Wichtig ist nun, dass alle Anwender die Akeeba irgendwann genutzt haben, Ihren Webspace nach der "kickstart.php" in Ihrem Hauptverzeichnis kontrollieren und diese entfernen. Normalerweise sollte dies sowieso gemacht werden und der Akeeba weist nach Wiederherstellung eines Backups sogar explizit darauf hin, allerdings wurde dies sicher eben auch oft vergessen. Kein Fehler seitens Akeeba, aber offensichtlich im Moment Ziel einiger Angriffe auf Webseiten bei denen die genannte Datei vergessen wurde.