Patch für Apache Struts macht Hacker auf gravierende Sicherheitslücke aufmerksam

SicherheitSicherheitsmanagement

Die ersten Angriffe wurden schon wenige Stunden nach Veröffentlichung des Patches bemerkt. Über die Lücke in Apache Struts lässt sich Schadcode aus der Ferne einschleusen und ausführen. Von ihr könnten weltweit über 30 Millionen Webanwendungen betroffen sein.

Hacker nehmen derzeit eine kürzlich gepatchte Sicherheitslücke in Apache Struts ins Visier, die es ihnen erlaubt, aus der Ferne Schadcode auf einem Webserver auszuführen. Die Anfälligkeit steckt im Jakarta Multipart Parser des Development Framework für Java-Webanwendungen, wie Computerworld berichtet. Cisco-Forscher entdeckten demnach nur Stunden nach der Veröffentlichung des Updates für Apache Struts den ersten Exploit auf einer chinesischen Website.

Code Sicherheit (Bild: Shutterstock)

Laut Forschern von Qualys ist es sehr einfach, die Schwachstelle auszunutzen. Die anfällige Upload-Funktion im Jakarta Multipart Parser müsse dafür nicht aktiviert sein – es reiche aus, dass sie auf dem Webserver vorhanden sei. Das wiederum sei bereits in der Ausgangskonfiguration von Apache Struts der Fall.

Angreifer erhalten automatisch die Rechte des Nutzers, der den Webserver ausführt. Ist der Server als Root konfiguriert, wird das System vollständig kompromittiert. Aber auch bei eingeschränkten Rechten soll die Lücke immer noch ein sehr ernstes Sicherheitsrisiko darstellen.

“Natürlich glauben wir, dass dieses Problem höchste Priorität hat und dass die Folgen eines erfolgreichen Angriffs schrecklich sind”, schreibt Amol Sarwate, Direktor des Vulnerability Labs von Qualys, in einem Blogeintrag. “Ein Angreifer kann aus der Ferne und ohne Anmeldedaten die vollständige Kontrolle über das System übernehmen.” Unternehmen, die Apache Struts auf ihren Webservern einsetzten, sollten schnellstmöglich auf die Versionen 2.3.32 oder 2.5.10.1 umsteigen.

Ausgewählte Whitepaper

Digitale Transformation: Vier gelungene Beispiele

Unternehmen brauchen eine Strategie die sicherstellt, dass für Nutzer On-Demand-Services mit der erwarteten Performance und Benutzerfreundlichkeit bereitgestellt werden. Die alten, Hardware-basierten IT-Ansätze können das bald nicht mehr leisten. Hier erfahren Sie, wie vier Firmen die digitale Transformation geschafft haben.

Cisco hat nach eigenen Angaben bereits zahlreiche Angriffe auf die Apache-Struts-Lücke dokumentiert. In einigen Fällen werde nur der Linux-Befehl “whoami” ausgeführt, um die Rechte des angemeldeten Nutzers zu ermitteln. Andere Angriffe gingen jedoch weiter und deaktivierten die Linux-Firewall, um eine ausführbare Datei einzuschleusen und zu starten. Dabei handele sich um unterschiedliche Schadprogramme, darunter ein IRC Bouncer und ein Denial-of-Service-Bot.

Das spanische Sicherheitsunternehmen Hack Players hat dem Bericht zufolge per Google-Suche 35 Millionen Webanwendungen identifiziert, die den Upload-Befehl “filetype:action” akzeptieren. Ein hoher Anteil davon sei wahrscheinlich angreifbar.

Ausgewähltes Whitepaper

Nutzen und Vorteile der Integration von ECM- und ERP-Software

Ein ECM-System kann besonders dort eine wichtige Ergänzung zu einer bereits bestehenden ERP-Lösung darstellen, wo geschäftsrelevante Dokumente separat abgelegt und mit ERP-Datensätzen verknüpft werden sollen, um Geschäftsprozesse vollständig digital abbilden zu können. Dieses Whitepaper beschreibt die Vorteile an einem konkreten Beispiel.

Da die Angriffe auf die am Montag öffentlich gemachte und gepatchte Apache-Struts-Lücke sehr zeitnah begannen, ist nicht ausgeschlossen, dass Hackern die Anfälligkeit schon vorher bekannt war. Nutzer, die das Update nicht sofort einspielen können, können eine Behelfslösung anwenden und einen Servlet-Filter für Inhaltstypen erstellen, der alle Anfragen abweist, die nicht den Multipart/Form-Daten entsprechen. Trend Micro empfiehlt alternativ, auf eine andere Implementierung des Multipart-Parsers umzusteigen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.