TYPO3 Developer Days 2022 - Wie sicher ist Dein TYPO3?

Nino Müns & Dusty Schubert

Was hat es mit dem Projekt auf sich?

Im Rahmen eines Förderprojekts mit dem Titel "Entwicklung eines TYPO3-Vulnerability Scanners" realisieren wir das Projekt t3secure.de. Die Förderung erfolgt dabei durch den Europäischen Fonds für regionale Entwicklung (EFRE) und das Land Sachsen-Anhalt im Maßnahmezeitraum vom 01.04.2021 bis 31.07.2022.

Was genau macht t3secure.de?

Der t3secure.de soll es Ihnen als Websitebetreiber ermöglichen, ohne technisches Know-how herauszufinden, ob Ihre TYPO3-Installation noch aktuell ist oder nicht und welche Sicherheitslücken enthalten sind. Zudem können Sie Ihre Webseite für einen regelmäßigen Scan anmelden und werden dann über Sicherheitslücken sowie benötigte Updates informiert.

TYPO3 Developer Days 2022

Da ein TYPO3-Upgrade oft nicht einfach ist, basieren fast 30 % der TYPO3-Instanzen auf veralteten TYPO3 Versionen. Upgrades und Updates würden das Risiko von Sicherheitslücken verringern.

Aber wie bringt man die Leute dazu, die TYPO3-Entwickler für die Aktualisierung ihrer alten Instanzen zu bezahlen?
Daraufhin haben wir t3secure.de entwickelt. Unser Geschäftsführer und Senior Webentwickler, Malte, hat bei den TYPO3 Developer Days 2022 das Tool der TYPO3-Entwickler-Community vorgestellt. Dabei erklärte er, wie man die TYPO3-Version nur anhand öffentlich zugänglicher Dateien erkennen kann und wie das Ergebnis der TYPO3-Community helfen könnte, Nutzer zum Handeln in Bezug auf ihr veraltetes TYPO3 zu bewegen.
Er gab Einblicke in die von unserem Werkstudierenden Jann erstellte Bachelorarbeit. Darin wurde im Februar 2022 geprüft, wie häufig die von deutschen, schweizerischen und österreichischen TYPO3-Agenturen erstellten Webseiten von Sicherheitsproblemen betroffen sind.

Mehr zu diesem Thema und zu dem Vortrag auf den TYPO3 Developer Days 2022 erfahren Sie hier.

>> Slides herunterladen

Eigene Studie

Mindestens 42,75 % der untersuchten TYPO3-Webseiten weisen bekannte Sicherheitslücken auf

Im Rahmen des diesem Projekt zugrunde liegenden Bachelorarbeit haben wir über die Suchmaschine Shodan eine Liste von TYPO3-Webseiten erstellt. Diese wurde um die als Referenzen aufgeführten Seiten diverser TYPO3-Agenturen aus Deutschland, Österreich und der Schweiz ergänzt. Gesamt wurden 849 TYPO3-Webseiten automatisiert im Februar 2022 geprüft.

So waren von den 849 untersuchten Webseiten nur 396 durch ihre Version von keiner bekannten Schwachstelle betroffen. Im Gegensatz dazu waren jedoch 453 Webseiten von mindestens einem bis maximal 25 bekannten Schwachstellen (CVEs) betroffen. Mindestens 42,75 % der TYPO3-Webseiten in unserer Untersuchung wiesen bekannte Sicherheitslücken auf. Da ELTS-Versionen nicht berücksichtigt wurden, kann der tatsächliche Wert zwischen 42,75 % und 54,3 % liegen.

>> Jetzt die komplette Bachelorarbeit lesen

3.000 Webseiten werden pro Tag gehackt

Täglichen werden nach Zahlen des Google Transparency Report bis zu 3.000 Webseiten weltweit manipuliert. Infizierte und manipulierte Webseiten haben erheblichen Einfluss auf Ihre Reputation als Webseitenbetreiber:in: Die Markenwahrnehmung verschlechtert sich, negative wirtschaftliche Effekte treten auf (Verlust von Kunden) sowie emotionale Ungleichgewichte (Unruhe). Zudem sind negative technische Folgen eines Hacks wie Blacklisting in Browsern (Nutzer können die Webseite nicht mehr aufrufen), Absturz des SEO-Ranks (Suchmaschinen blenden infizierte Seiten aus oder sortieren diese weit hinten in den Ergebnissen ein) und die Möglichkeit einer Infektion mit Schadsoftware der Besucher:innen der kompromittierten Webseite sehr wahrscheinlich.
Dabei werden am häufigsten Webseiten mit Content Management-Systemen gehackt, da weltweit die meisten Webseiten auf einem CMS basieren. 99,99 % der Attacken auf Webseiten sind Sucuri und anderen IT-Sicherheitsspezialisten zur Folge sogenannte Gelegenheits-Attacken, bei denen eine bekannte Sicherheitslücke in einem CMS weitestgehend automatisiert ausgenutzt wird. Die Hacker haben es also nicht gezielt auf Ihr Unternehmen abgesehen. Ihre TYPO3-Webseite ist also schlichtweg zur falschen Zeit am falschen Ort. Es lassen sich dabei verschiedene Arten von Angriffen unterscheiden:

  • Verteilung von Schadsoftware
  • Suchmaschinenergebnisse verfälschen (Search Engine Poisoning)
  • Hosting von Phishing-Seiten zum Stehlen von Zugangsdaten von Nutzern (beispielsweise gefälschte PayPal-Seiten)
  • Versand von massenhaften E-Mails über den gekaperten Server (SPAM & Phishing)
  • Defacement: Änderung des Aussehens der Webseite
  • (D)DOS-Attacke: Server wird genutzt, um andere Server so lange anzufragen, bis diese unter der Last kollabieren/ nicht mehr antworten können
  • Ransomware: Hosting von Schadsoftware, die den Computer der Nutzer verschlüsselt und die Daten erst gegen Lösegeldzahlung wieder freigibt.

Problematisch bei der Infektion von Webseiten ist, dass diese aktuellen Zahlen Google zufolge lange unentdeckt bleiben. Die durchschnittliche Reaktionszeit der Betreiber liegt bei 60 - 90 Tagen. In dieser Zeit haben die Angreifer Gelegenheit weiteren Schaden anzurichten. Hier muss unbedingt schneller gehandelt werden.

>> Scannen Sie jetzt Ihre TYPO3-Webseite auf mögliche Sicherheitslücken

>> Regelmäßiges Scannen mit t3secure Pro anfragen

Quellen

[²] 2021 Website Threat Research Report, Sucuri, S. 9, Abruf unter https://sucuri.net/wp-content/uploads/2022/04/sucuri-2021-hacked-report.pdf am 20.05.2022
[³]Sucuri Webinar "Agency Security", Abruf am 19.05.20222 unter https://sucuri.net/infographics/webinar-agency-security/