Apache Sicherheitslücke ermöglicht komplette Systemübernahme

Keine Kommentare
 

 

Das Zeitfenster zwischen dem Bekanntwerden einer Sicherheitslücke und dem Einspielen eines schützenden Updates nutzen Angreifer häufig für gezielte Angriffe. So geschah es auch bei einer Schwachstelle in Apache Struts 2: Einen passenden Exploit entdeckten Forscher von Cisco nur wenige Stunden nach der Update-Veröffentlichung. Möglicherweise sind Millionen von Webanwendungen anfällig für den Angriff. Unternehmen, die das Struts-Framework nutzen, sollten daher so schnell wie möglich auf die aktuelle Version 2.5.10.1 umsteigen.

Welt mit Binärcode

Apache Sicherheitslücke ermöglicht komplette Systemübernahme (Pixabay.com / HypnoArt)

Die Sicherheitslücke mit der Bezeichnung CVE-2017-5638 befindet sich in der Upload-Funktion des Jakarta Multipart Parsers, der zum Development Framework für Java-Webanwendungen gehört. Das Deaktivieren dieser Funktion schützt jedoch nicht vor dem – laut Experten von Qualys sehr einfach durchzuführenden – Angriff. Ihr bloßes Vorhandensein auf dem System ist ausreichend. Das spanische Sicherheitsunternehmen Hack Players identifizierte etwa 35 Millionen Webanwendungen, die den Upload-Befehl “filetype:action” akzeptieren – dies macht sie zu potenziellen Angriffszielen. Da die Angriffe sehr zeitnah nach der Veröffentlichung des Sicherheits-Updates begannen, wird gemutmaßt, dass einige Hacker bereits im Vorfeld von der Lücke wussten und eifrig am passenden Exploit arbeiteten.

Sicherheitsrisiko abhängig von Zugriffsrechten

In einem Blogeintrag berichtete Qualys-Mitarbeiter Amol Sarwate, dass Angreifer aus der Ferne und ohne jegliche Zugangsdaten auf die betroffenen Webserver zugreifen können. Er betonte die hohe Priorität des Problems und die schlimmen Folgen, die ein erfolgreicher Exploit mit sich bringen könne. Wie gravierend diese Folgen tatsächlich sind, hängt allerdings von den Rechten ab, mit denen der Server konfiguriert ist. Bestehen Root-Rechte, so ist eine vollständige Übernahme des Systems möglich. Doch auch bei eingeschränkten Rechten besteht laut Qualys noch immer ein hohes Sicherheitsrisiko.
Cisco dokumentierte bereits zahlreiche erfolgreiche Angriffe, deren Ausmaß sehr unterschiedlich waren. In einigen Fällen wurde lediglich der Linux-Befehl “whoami” ausgeführt, um die bestehenden Zugriffsrechte abzufragen. Einige Angreifer deaktivierten jedoch auch die Firewall, um anschließend ausführbaren Schadcode einzuschleusen. Dabei handelte es sich unter anderem um einen Denial-of-Service-Bot und einen IRC Bouncer.

Workaround als temporäre Update-Alternative

Admins, denen das Upgrade auf die gepatchte Strut-Version 2.5.10.1 nicht umgehend möglich ist, können stattdessen auf einen temporären Workaround zurückgreifen. Dieser besteht im Einrichten eines Servlet-Filters, der eingehende Inhalte herausfiltert, die nicht dem “multipart/form-data”-Format entsprechen. Auch viele Web Application Firewalls ermöglichen das Anlegen passender Filterregeln. Trend Micro schlägt alternativ den Umstieg auf eine andere Implementierung des Multipart-Parsers vor. Neben dem Jakarta- gibt es nämlich noch den Pell-Parser. Dieser setzt statt der sicherheitsanfälligen “Commons FileUpload”-Bibliothek Jason Pells Multipart-Parser ein.

 

 

 

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen