Patch für Apache Struts macht Hacker auf gravierende Sicherheitslücke aufmerksam

SicherheitSicherheitsmanagement

Die ersten Angriffe wurden schon wenige Stunden nach Veröffentlichung des Patches bemerkt. Über die Lücke in Apache Struts lässt sich Schadcode aus der Ferne einschleusen und ausführen. Von ihr könnten weltweit über 30 Millionen Webanwendungen betroffen sein.

Hacker nehmen derzeit eine kürzlich gepatchte Sicherheitslücke in Apache Struts ins Visier, die es ihnen erlaubt, aus der Ferne Schadcode auf einem Webserver auszuführen. Die Anfälligkeit steckt im Jakarta Multipart Parser des Development Framework für Java-Webanwendungen, wie Computerworld berichtet. Cisco-Forscher entdeckten demnach nur Stunden nach der Veröffentlichung des Updates für Apache Struts den ersten Exploit auf einer chinesischen Website.

Code Sicherheit (Bild: Shutterstock)

Laut Forschern von Qualys ist es sehr einfach, die Schwachstelle auszunutzen. Die anfällige Upload-Funktion im Jakarta Multipart Parser müsse dafür nicht aktiviert sein – es reiche aus, dass sie auf dem Webserver vorhanden sei. Das wiederum sei bereits in der Ausgangskonfiguration von Apache Struts der Fall.

Angreifer erhalten automatisch die Rechte des Nutzers, der den Webserver ausführt. Ist der Server als Root konfiguriert, wird das System vollständig kompromittiert. Aber auch bei eingeschränkten Rechten soll die Lücke immer noch ein sehr ernstes Sicherheitsrisiko darstellen.

“Natürlich glauben wir, dass dieses Problem höchste Priorität hat und dass die Folgen eines erfolgreichen Angriffs schrecklich sind”, schreibt Amol Sarwate, Direktor des Vulnerability Labs von Qualys, in einem Blogeintrag. “Ein Angreifer kann aus der Ferne und ohne Anmeldedaten die vollständige Kontrolle über das System übernehmen.” Unternehmen, die Apache Struts auf ihren Webservern einsetzten, sollten schnellstmöglich auf die Versionen 2.3.32 oder 2.5.10.1 umsteigen.

Ausgewählte Whitepaper

So schützen Sie Ihr Unternehmen vor mobiler Malware

Während Back-End-Systeme von Unternehmen mit Firewalls, Intrusion-Prevention-Systemen und Antivirus-Gateways geschützt werden, weisen weder unternehmenseigene noch private mobile Geräte den gleichen Schutz auf. Das haben auch die Angreifer erkannt. Es ist daher höchste Zeit, angemessene Gegenmaßnahmen einzuleiten.

Cisco hat nach eigenen Angaben bereits zahlreiche Angriffe auf die Apache-Struts-Lücke dokumentiert. In einigen Fällen werde nur der Linux-Befehl “whoami” ausgeführt, um die Rechte des angemeldeten Nutzers zu ermitteln. Andere Angriffe gingen jedoch weiter und deaktivierten die Linux-Firewall, um eine ausführbare Datei einzuschleusen und zu starten. Dabei handele sich um unterschiedliche Schadprogramme, darunter ein IRC Bouncer und ein Denial-of-Service-Bot.

Das spanische Sicherheitsunternehmen Hack Players hat dem Bericht zufolge per Google-Suche 35 Millionen Webanwendungen identifiziert, die den Upload-Befehl “filetype:action” akzeptieren. Ein hoher Anteil davon sei wahrscheinlich angreifbar.

Ausgewähltes Whitepaper

Kriterien für die Auswahl eines ITSM-Tools

In diesem Whitepaper erfahren Sie, wie sich Unternehmen dabei auf das Wesentliche konzentrieren und einen RFP vermeiden, bei dem alle Beteiligten von Details “erschlagen” werden und das eigentliche Ziel aus den Augen verlieren.

Da die Angriffe auf die am Montag öffentlich gemachte und gepatchte Apache-Struts-Lücke sehr zeitnah begannen, ist nicht ausgeschlossen, dass Hackern die Anfälligkeit schon vorher bekannt war. Nutzer, die das Update nicht sofort einspielen können, können eine Behelfslösung anwenden und einen Servlet-Filter für Inhaltstypen erstellen, der alle Anfragen abweist, die nicht den Multipart/Form-Daten entsprechen. Trend Micro empfiehlt alternativ, auf eine andere Implementierung des Multipart-Parsers umzusteigen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.