Patch für Apache Struts macht Hacker auf gravierende Sicherheitslücke aufmerksam

SicherheitSicherheitsmanagement

Die ersten Angriffe wurden schon wenige Stunden nach Veröffentlichung des Patches bemerkt. Über die Lücke in Apache Struts lässt sich Schadcode aus der Ferne einschleusen und ausführen. Von ihr könnten weltweit über 30 Millionen Webanwendungen betroffen sein.

Hacker nehmen derzeit eine kürzlich gepatchte Sicherheitslücke in Apache Struts ins Visier, die es ihnen erlaubt, aus der Ferne Schadcode auf einem Webserver auszuführen. Die Anfälligkeit steckt im Jakarta Multipart Parser des Development Framework für Java-Webanwendungen, wie Computerworld berichtet. Cisco-Forscher entdeckten demnach nur Stunden nach der Veröffentlichung des Updates für Apache Struts den ersten Exploit auf einer chinesischen Website.

Code Sicherheit (Bild: Shutterstock)

Laut Forschern von Qualys ist es sehr einfach, die Schwachstelle auszunutzen. Die anfällige Upload-Funktion im Jakarta Multipart Parser müsse dafür nicht aktiviert sein – es reiche aus, dass sie auf dem Webserver vorhanden sei. Das wiederum sei bereits in der Ausgangskonfiguration von Apache Struts der Fall.

Angreifer erhalten automatisch die Rechte des Nutzers, der den Webserver ausführt. Ist der Server als Root konfiguriert, wird das System vollständig kompromittiert. Aber auch bei eingeschränkten Rechten soll die Lücke immer noch ein sehr ernstes Sicherheitsrisiko darstellen.

“Natürlich glauben wir, dass dieses Problem höchste Priorität hat und dass die Folgen eines erfolgreichen Angriffs schrecklich sind”, schreibt Amol Sarwate, Direktor des Vulnerability Labs von Qualys, in einem Blogeintrag. “Ein Angreifer kann aus der Ferne und ohne Anmeldedaten die vollständige Kontrolle über das System übernehmen.” Unternehmen, die Apache Struts auf ihren Webservern einsetzten, sollten schnellstmöglich auf die Versionen 2.3.32 oder 2.5.10.1 umsteigen.

Ausgewählte Whitepaper

Sicherheitsaspekte bei der Auswahl einer Lösung für EFSS

Bei der Entscheidung für eine Lösung zur Dateisynchronisierung und -freigabe (Enterprise File-Share and Sync) spielen in Unternehmen in der Regel mehrere Faktoren eine Rolle. Datensicherheit steht dabei meist ganz oben weit oben auf der Liste. Diese 12 Fragen sollten sie Anbietern daher auf alle Fälle stellen.

Cisco hat nach eigenen Angaben bereits zahlreiche Angriffe auf die Apache-Struts-Lücke dokumentiert. In einigen Fällen werde nur der Linux-Befehl “whoami” ausgeführt, um die Rechte des angemeldeten Nutzers zu ermitteln. Andere Angriffe gingen jedoch weiter und deaktivierten die Linux-Firewall, um eine ausführbare Datei einzuschleusen und zu starten. Dabei handele sich um unterschiedliche Schadprogramme, darunter ein IRC Bouncer und ein Denial-of-Service-Bot.

Das spanische Sicherheitsunternehmen Hack Players hat dem Bericht zufolge per Google-Suche 35 Millionen Webanwendungen identifiziert, die den Upload-Befehl “filetype:action” akzeptieren. Ein hoher Anteil davon sei wahrscheinlich angreifbar.

Ausgewähltes Whitepaper

Anbieter von IoT-Plattformen im Vergleich

Die Frage nach der passenden IoT-Plattform ist angesichts der Vielzahl der Anbieter nur schwer zu beantworten. Der jetzt von Forrester Research vorgelegte Bericht "The Forrester Wave™ zu IoT-Softwareplattformen" hilft, sich einen Überblick über die aktuelle Marktlage zu verschaffen und den richtigen Ansatz auszuwählen.

Da die Angriffe auf die am Montag öffentlich gemachte und gepatchte Apache-Struts-Lücke sehr zeitnah begannen, ist nicht ausgeschlossen, dass Hackern die Anfälligkeit schon vorher bekannt war. Nutzer, die das Update nicht sofort einspielen können, können eine Behelfslösung anwenden und einen Servlet-Filter für Inhaltstypen erstellen, der alle Anfragen abweist, die nicht den Multipart/Form-Daten entsprechen. Trend Micro empfiehlt alternativ, auf eine andere Implementierung des Multipart-Parsers umzusteigen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.