Info: Hackerangriff auf die Comosoft Webseiten

Sehr geehrte Comosoft Kunden,
wie Sie vielleicht bereits mitbekommen haben, wurde ein externer Comosoft Webserver am Wochenende von mutmaßlich südost-asiatischen Hackern angegriffen.

Durch diesen Angriff sind keinerlei LAGO Programmversionen oder Downloads betroffen. Ihre Kundensysteme sind sicher.

Durch eine Lücke im WordPress ist es den Angreifern gelungen, fremden PHP-Code einzuschleusen und unseren Marketing Server für den Versand von „erotischen Informationen“ zu nutzen. Wir haben daraufhin den Server sofort offline genommen.

Über unser Ticket System JIRA (welches vom Angriff nicht betroffen war) haben wir Sie unmittelbar nach dem Angriff informiert.

Wir haben jetzt unsere Detail-Analysen abgeschlossen und informieren Sie mit diesem Mail über die Beendigung des Angriffs und unsere getroffenen Maßnahmen.

Der angegriffene Comosoft Webserver steht außerhalb des Comosoft Netzwerkes bei einem externen Provider.

Wir halten auf diesem System nur die Comosoft Webseite sowie den Comosoft-Releasenotes Generator vor. Auf dem Server befinden sich bewusst keine Kundendaten, keine LAGO-Programmversionen oder Ähnliches mit Ausnahme eines Passwortes im Releasenotes-Generator. Dieses Passwort haben wir bereits zurückgesetzt und Sie darüber informiert.

Der Releasenotes-Generator ist eine Eigenentwicklung von Comosoft und basiert auf PHP-Code.
Dieses System erzeugt auf Basis der Logindaten eines Benutzers und in der lokalen Datenbank hinterlegten Release-Informationen PDF-Dateien.
Der Programmcode des Releasenotes-Generators wurde auf den verifizierten Stand vom 03.11.2016 zurück gefahren um auch hier ein Problem ausschließen zu können.

Als CMS für die Webseite nutzen wir das bekannte WordPress-System.
Die zugehörige Datenbank befindet sich lokal auf dem Webserver.

Im WordPress-System sind User hinterlegt. Diese User tragen als Benutzernamen den Kurz-Firmennamen, sowie ein vom Kunden/Benutzer angepasstes Passwort.
Der Benutzername (in der Bedeutung des Kundennamen) wird vom Releasenotes-Generator zum Filtern der Releaseinformationen verwendet. Dieses Passwort haben wir bereits zurückgesetzt und Sie darüber informiert.

Auf der Webseite sind Downloadlinks hinterlegt.
Ziel der Links ist die Amazon-Cloud. Die Files in der Amazon-Cloud sind read-only und können über die Downloadlinks NICHT verändert werden.

Um Ihnen hier weitere Sicherheit zu geben werden wir für alle aktuell verlinkten Downloads eine Prüfsumme bereitstellen.
Dieses gibt Ihnen die Möglichkeit Ihre Downloads zu verifizieren.

Der Server hat keine Verbindung in das Comosoft-Netz. Es bestehen keine Verbindungen in andere Netze – abgesehen von den Downloadlinks (die aber read-only sind). Durch diese bewusste Trennung dieser Systeme auf dem externen Server von unseren anderen Netzen haben die Angriffe NICHT das Comosoft Netzwerk kompromittiert.

Die Download-Bereiche mit den LAGO-Versionen befinden sich ebenfalls in getrennten Netzen. Es gibt keine Angriffe auf die über die Amazon-Cloud gehosteten Ressourcen.

Das Ticket-System JIRA als auch unsere Mail-Appliance befinden sich in mehrfach gesicherten Bereichen innerhalb des Comosoft Netzwerkes und sind ebenfalls NICHT betroffen.

Wir haben jetzt alle möglichen Maßnahmen getroffen, um künftige Angriffe zu verhindern. 

Falls Sie weitere Rückfragen haben, wenden Sie sich sehr gerne an Ihren jeweiligen Ansprechpartner bei Comosoft.

Mit freundlichen Grüßen

Ihre Comosoft Geschäftsführung