Jetzt patchen! Apache Struts 2 im Visier von Hackern

Einige Versionen des Open-Source-Frameworks Apache Struts 2 sind verwundbar, wenn der Upload von Dateien über den Standard-Multipart-Parser Jakarta realisiert wird. Aktuell versuchen Angreifer im großen Stil eine kritische Sicherheitslücke (CVE-2017-5638 ) in dieser Kombination auszunutzen. Schlimmstenfalls könnten sie so ohne Authentifizierung aus der Ferne eigenen Code ausführen und Server komplett übernehmen, warnen die Entwickler.

Davon sind die Struts-Versionen 2.3.31 bis 2.3.5 und 2.5 bis 2.5.10 betroffen. In den Ausgaben 2.3.32 und 2.5.10.1 haben die Entwickler die Lücke geschlossen. Wer derzeit keines der Sicherheitsupdates installieren kann, sollte einen alternativen Multipart Parser einsetzen. Alternativ kann man auch einen Servlet-Filter definieren, der im Zuge eines Uploads den Content-Type-Wert überprüft und diesen, wenn er nicht mit multipart/form-data konform geht, verwirft.

Fehleinschätzung?

Das Team hinter dem Open-Source-Framework stuft das Risiko als hoch ein und spricht von einer "möglichen Ausführung von Schadcode aus der Ferne". In der Realität sieht das aber anders aus und verschiedenen Sicherheitsforschern zufolge lässt sich die Lücke vergleichsweise einfach zum Ausführen von Schadode ausnutzen.

Zudem sollen Angreifer Web-Server mit verwundbaren Versionen ohne viel Aufwand per Scan finden können. Bereits 48 Stunden nach Veröffentlichung der Patches sollen die Angriffe in die Höhe geschnellt sein: Das Ganze ist durchaus kritisch.

Malware-Infektionen

Derzeit sollen zwei funktionierende Exploits im Umlauf sein. Sicherheitsforscher von Cisco Talos haben etwa beobachtet, dass Angreifer über die Schwachstelle eigene Kommandos auf Server schicken, so die Firewall deaktivieren, um im Anschluss Malware auszuführen. (des)