Die Angreifer scannten das Internet direkt im Hinblick auf Seiten mit der alten ColdFusion-Version, die diese Schwachstelle enthielt. Alex Holden von Hold Security dazu:

„Die Backdoor erlaubt den Zugriff auf die SQL-Datenbank und die volle Befehlsgewalt im Namen des eigentlichen Betreibers der Webseite. Und somit Zugriff auf alles, was auf dem Server liegt.“

Citroën selbst war nicht verantwortlich für das Betreiben der Webseite, sondern engagierte die Webdesignfirma anyMotion dafür. anyMotion hat das Problem behoben und ist nun mit Nachforschungen beschäftigt. Alle Passwörter im Zusammenhang mit der Webseite wurden ersetzt und die Kunden konnten zunächst nicht weiter einkaufen.

Der Vorfall lenkt den Blick auf ein nicht unerhebliches Risiko: die Auslagerung von Tätigkeiten an Dritte.

„Auch wenn man jede Art von Sicherheitsmaßnahmen in den eigenen vier Wänden trifft, schafft man durch die Beauftragung Dritter eine Brücke ins Innere des eigenen Systems. Ist der Dritte kompromittiert, so ist auch die eigene Organisation betroffen“,

so Rocco Grillo von der Beratung Protiviti.

„Man kann zwar die Tätigkeit auslagern, nicht aber das Risiko. Wenn diese dritte Partei nicht die gleichen Sicherheitsmaßnahmen trifft, so ist dies ein Problem für das Risk-Management. Die Firma hat ein gewaltiges Problem, wenn das andere Unternehmen die Daten verliert.“

Außerdem unterstreicht die Attacke ein weit verbreitetes Problem: Nutzer sollten verwundbare Software regelmäßig aktualisieren. Die Schwachstellen von ColdFusion wurden inzwischen behoben.

Artikel von krebsonsecurity.com, 17.03.2014: The Long Tail of ColdFusion Fail
Artikel von theguardian.com, 17.03.2014: Citroen becomes the latest victim of Adobe ColdFusion hackers