Jetzt patchen: Aktivitäts-Mounts für gefährlichen Apache Struts 2-Bug ausnutzen

Es bestehen große Bedenken hinsichtlich einer kritischen, kürzlich bekannt gewordenen Sicherheitslücke zur Remotecodeausführung (RCE) in Apache Struts 2, die Angreifer in den letzten Tagen aktiv ausgenutzt haben.

Apache Struts ist ein weit verbreitetes Open-Source-Framework zum Erstellen von Java-Anwendungen. Entwickler können damit modulare Webanwendungen erstellen, die auf der sogenannten Model-View-Controller (MVC)-Architektur basieren. Die Apache Software Foundation (ASF) den Fehler offengelegt am 7. Dezember und gab ihm eine nahezu maximale Schweregradbewertung von 9.8 von 10 auf der CVSS-Skala. Die Schwachstelle, verfolgt als CVE-2023-50164 hat damit zu tun, wie Struts mit Parametern beim Datei-Upload umgeht und Angreifern die Möglichkeit gibt, die vollständige Kontrolle über betroffene Systeme zu erlangen.

Ein weit verbreitetes Sicherheitsproblem, das Java-Apps betrifft

Der Fehler hat aufgrund seiner Verbreitung, der Tatsache, dass er aus der Ferne ausführbar ist und weil Proof-of-Concept-Exploit-Code dafür öffentlich verfügbar ist, große Besorgnis hervorgerufen. Seit der Offenlegung des Fehlers letzte Woche haben mehrere Anbieter – und Unternehmen wie ShadowServer – haben berichtet, dass sie Anzeichen von Exploit-Aktivitäten gesehen haben, die auf die Schwachstelle abzielen.

Die ASF selbst hat beschrieben, dass Apache Struts eine „riesige Benutzerbasis“ hat, da es es schon seit mehr als zwei Jahrzehnten gibt. Sicherheitsexperten schätzen, dass es weltweit Tausende von Anwendungen gibt – darunter auch solche, die in vielen Fortune-500-Unternehmen und Organisationen im Regierungs- und kritischen Infrastruktursektor im Einsatz sind –, die auf Apache Struts basieren.  

Viele Anbietertechnologien integrieren auch Apache Struts 2. Cisco zum Beispiel ist es derzeit untersucht alle Produkte, die wahrscheinlich von dem Fehler betroffen sind, und plant, bei Bedarf zusätzliche Informationen und Updates zu veröffentlichen. Zu den Produkten, die auf dem Prüfstand stehen, gehören die Netzwerkmanagement- und Bereitstellungstechnologien von Cisco, Sprach- und Unified-Communications-Produkte sowie die Plattform für die Zusammenarbeit mit Kunden.

Die Schwachstelle betrifft die Struts-Versionen 2.5.0 bis 2.5.32 und die Struts-Versionen 6.0.0 bis 6.3.0. Der Fehler tritt auch in den Struts-Versionen 2.0.0 bis Struts 2.3.37 auf, die nun nicht mehr verfügbar sind.

Die ASF, Sicherheitsanbieter und Organisationen wie die US-Behörde für Cybersicherheit und Informationssicherheit (CISA) haben Unternehmen, die die Software verwenden, empfohlen, sofort auf Struts Version 2.5.33 oder Struts 6.3.0.2 oder höher zu aktualisieren. Nach Angaben der ASF sind keine Abhilfemaßnahmen für die Schwachstelle verfügbar.

In den letzten Jahren haben Forscher zahlreiche Mängel in Struts aufgedeckt. Der wohl bedeutendste von ihnen war CVE-2017-5638 im Jahr 2017, von der Tausende von Organisationen betroffen waren und die einen Verstoß bei Equifax ermöglichte, der sensible Daten von sage und schreibe 143 Millionen US-Verbrauchern offenlegte. Dieser Fehler schwebt tatsächlich immer noch herum – Kampagnen, die das gerade entdeckte nutzen NKAmissbrauchen Sie Blockchain-Malware. nutzen es zum Beispiel für den Erstzugang.

Ein gefährlicher Apache Struts 2-Fehler, der aber schwer auszunutzen ist

Forscher von Trend Micro, die diese Woche die neue Schwachstelle in Apache Struts analysiert haben beschrieb es als gefährlich, aber wesentlich schwieriger in größerem Umfang auszunutzen als der Fehler von 2017, bei dem es sich kaum um mehr als ein Scan- und Exploit-Problem handelte.  

„Die Schwachstelle CVE-2023-50164 wird weiterhin in großem Umfang von einer Vielzahl von Bedrohungsakteuren ausgenutzt, die diese Schwachstelle für böswillige Aktivitäten missbrauchen, was sie zu einem erheblichen Sicherheitsrisiko für Unternehmen weltweit macht“, sagten Forscher von Trend Micro.

Der Fehler ermöglicht es einem Angreifer grundsätzlich, Datei-Upload-Parameter zu manipulieren, um die Pfadüberquerung zu ermöglichen: „Dies könnte möglicherweise zum Hochladen einer schädlichen Datei führen und die Remote-Codeausführung ermöglichen“, stellten sie fest.

Um den Fehler auszunutzen, müsste ein Angreifer zunächst mithilfe einer anfälligen Apache Struts-Version nach Websites oder Webanwendungen suchen und diese identifizieren, sagte Akamai in einem Bericht, der die Analyse der Bedrohung zusammenfasst diese Woche. Anschließend müssten sie eine speziell gestaltete Anfrage senden, um eine Datei auf die anfällige Website oder Web-App hochzuladen. Die Anfrage würde versteckte Befehle enthalten, die das anfällige System dazu veranlassen würden, die Datei an einem Ort oder Verzeichnis abzulegen, von dem aus der Angriff darauf zugreifen und die Ausführung von Schadcode auf dem betroffenen System auslösen könnte.

"In der Webanwendung müssen bestimmte Aktionen implementiert sein, um das Hochladen bösartiger mehrteiliger Dateien zu ermöglichen“, sagt Sam Tinklenberg, leitender Sicherheitsforscher bei Akamai. „Ob dies standardmäßig aktiviert ist, hängt von der Implementierung von Struts 2 ab. Basierend auf dem, was wir gesehen haben, ist es wahrscheinlicher, dass dies nicht standardmäßig aktiviert ist.“

Zwei PoC-Exploit-Varianten für CVE-2023-50164

Akamai gab an, dass es bisher Angriffe auf CVE-2023-50164 unter Verwendung des öffentlich veröffentlichten PoC sowie eine weitere Reihe von Angriffsaktivitäten mit scheinbar einer Variante des ursprünglichen PoC gegeben habe.

„Der Exploit-Mechanismus ist bei beiden Angriffsgruppen derselbe“, sagt Tinklenberg. „Aber die Punkte, die sich unterscheiden, sind der Endpunkt und die Parameter, die bei dem Ausnutzungsversuch verwendet werden.“

Die Anforderungen an einen Angreifer, um die Schwachstelle erfolgreich auszunutzen, können je nach Implementierung erheblich variieren, fügt Tinklenberg hinzu. Dazu gehört die Notwendigkeit, dass eine anfällige App die Funktion zum Hochladen von Dateien aktiviert hat und einem nicht authentifizierten Benutzer das Hochladen von Dateien ermöglicht. Wenn eine anfällige App keine unbefugten Benutzer-Uploads zulässt, muss der Angreifer die Authentifizierung und Autorisierung auf andere Weise erlangen. Der Angreifer müsste den Endpunkt auch mithilfe der angreifbaren Datei-Upload-Funktion identifizieren, sagt er.

Während diese Schwachstelle in Apache Struts im Vergleich zu früheren Schwachstellen möglicherweise nicht so leicht in großem Umfang ausgenutzt werden kann, wirft ihr Vorhandensein in einem so weit verbreiteten Framework sicherlich erhebliche Sicherheitsbedenken auf, sagt Saeed Abbasi, Manager für Schwachstellen- und Bedrohungsforschung bei Qualys.

„Diese besondere Schwachstelle zeichnet sich durch ihre Komplexität und die spezifischen Bedingungen aus, die für die Ausnutzung erforderlich sind, was weitreichende Angriffe schwierig, aber möglich macht“, stellt er fest. „Angesichts der umfassenden Integration von Apache Struts in verschiedene kritische Systeme ist das Potenzial für gezielte Angriffe nicht zu unterschätzen.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug