Der Sicherheitsanbieter Sonatype geht davon aus, dass Entwickler es versäumen, die kritische RCE-Schwachstelle (Remote Code Execution) im Apache Struts 2-Framework zu beheben, basierend auf aktuellen Downloads des Codes.
Die als CVE-2023-50164 verfolgte Schwachstelle wird in Bezug auf den CVSS-Schweregrad mit 9,8 von 10 bewertet. Es handelt sich um einen logischen Fehler in der Datei-Upload-Funktion des Frameworks: Wenn eine Anwendung Struts 2 verwendet, um Benutzern das Hochladen von Dateien auf einen Server zu ermöglichen, können diese Leute die Sicherheitslücke ausnutzen, um Dokumente dort zu speichern, wo sie auf dem Remote-Rechner nicht erlaubt sein sollten. So könnte jemand beispielsweise den Fehler ausnutzen, um ein Webshell-Skript auf einen Webserver hochzuladen und darauf zuzugreifen, um die Kontrolle über das System zu übernehmen oder dort Fuß zu fassen.
Die Folgen einer erfolgreichen Ausnutzung könnten enorm schädlich sein: Denken Sie an Datendiebstahl, Malware-Infektionen, Netzwerkeinbrüche und dergleichen.
Die Lösung ist einfach: Verwenden Sie Versionen von Struts, die repariert wurden.
Doch Forscher von Sonatype, das das Maven Central-Repository für Open-Source-Software betreibt, haben herausgefunden, dass zwischen der Offenlegung des Fehlers am 7. Dezember und dem 18. Dezember etwa 80 Prozent der Struts-Downloads aus diesem Codesilo Versionen betrafen, die weiterhin anfällig für CVE sind. 2023-50164.
Diese Zahl, so der Anbieter, sei viel schlechter als die Einführung der festen Version von Log4j im Jahr 2021 über einen vergleichbaren Zeitraum.
Die niedrige Download-Rate für sichere Struts-Dateien ist trotz der Veröffentlichung eines Proof-of-Concept-Exploit-Codes (PoC) zu verzeichnen, der staatliche Cyber-Beratungsdienste dazu veranlasste, ein schnelles Patchen der Schwachstelle zu fordern.
Verschiedene Quellen bestätigt Die Sicherheitslücke wurde am 13. Dezember aktiv ausgenutzt, obwohl viele Versuche ungültig waren, da sie nicht auf Endpunkte mit Datei-Upload-Funktionalität abzielten.
Ungeachtet dessen bekräftigten viele Branchenexperten schnell die empfohlene Richtlinie – die darin bestand, so schnell wie möglich auf die neueste Version von Struts 2 zu aktualisieren –, stellten jedoch fest, dass es eine Liste von Voraussetzungen gebe, die erfüllt sein müssten, damit ein Angriff erfolgreich sei .
„Wir gehen davon aus, dass es sich in den meisten Szenarien … bei den meisten Ausnutzungsfällen von CVE-2023-50164 eher um einmalige benutzerdefinierte Angriffe auf betroffene Anwendungen handeln wird, die die erforderlichen Voraussetzungen erfüllen, als um wahllose Massenausnutzungsversuche“, bemerkten die Forscher von Praetorian, deren Artikel sehr gut geschrieben ist erklärt die Einschränkungen der realen Ausbeutung.
„Obwohl das Risiko einer Ausnutzung viel geringer ist als bei früheren Schwachstellen in Apache Struts, empfehlen wir dennoch, dass Anwendungsentwickler, die die betroffene Version von Apache Struts ausführen, umgehend auf die neueste Version hochladen, selbst in Szenarien, in denen die notwendigen Voraussetzungen für die Ausnutzbarkeit nicht erfüllt sind.“
Die Forscher wiesen weiter darauf hin, dass ein weiterer Faktor, der eine erfolgreiche Ausnutzung erschwert, die Schwierigkeit beim Scannen nach anfälligen Endpunkten ist – wiederum aufgrund der Anzahl der Vorbedingungen und der Anforderung an die Funktion zum Hochladen von Dateien.
Trotz der geringen Wahrscheinlichkeit einer Ausnutzung argumentierte Ilkka Turunen, Field CTO bei Sonatype, dass es Faktoren gibt, die eine mögliche Ausnutzung der Schwachstelle ernsthaft in Betracht ziehen lassen.
Wenn ein Angreifer einen ausnutzbaren Endpunkt oder eine Sammlung davon findet, ist der Angriff leicht automatisierbar. Auch im Internet mangelt es nicht an potenziellen Zielen, wenn ein Angreifer zuverlässig nach anfälligen Zielen suchen kann – angesichts der weiten Verbreitung von Struts 2 und der geringeren Personalausstattung in Unternehmen verzögern sich Sicherheitsupgrades und Angriffserkennung oft.
„Während wir durch die Weihnachtszeit navigieren, sollte die dringende Behebung der Schwachstelle in Struts 2 höchste Priorität haben“, bloggte er. „Das Potenzial für die Remote-Codeausführung, das an die Kompromittierung von Equifax erinnert, unterstreicht die Notwendigkeit eines schnellen Handelns.“
„Obwohl diese Vorfälle nicht so schwerwiegend sind wie einige aufsehenerregende Fälle wie log4j vor zwei Jahren, erinnern sie doch daran, dass Open Source, wie jede Technologie, sorgfältige Wartung erfordert. Katalogisieren Sie also Ihre Software und kennen Sie Ihre Komponenten. Erstellen Sie außerdem Softwarerechnungen.“ von Materialien und scannen Sie nach Struts2-Core. ®
