Sergey Nivens - Fotolia

F

Warum die Sicherheitsprobleme mit Apache Struts bestehen

Obwohl seit Monaten ein Patch für eine gefährliche Sicherheitslücke in Apache Struts verfügbar ist, gibt es noch viele verwundbare Systeme. Unternehmen sollten diese absichern.

Ein Bug in einer Software, mit der sich aus der Ferne böswilliger Code mit Root-Rechten einschleusen lässt, ist der heilige Gral der Sicherheitslücken. Sie zu finden, ist wie ein Ritterschlag. Nun hat es auch Apache Struts getroffen. Dieses kostenlose Open-Source-Framework wird genutzt, um moderne und elegante Web-Apps in Java zu erstellen. Einige Firmen setzen es zudem ein, um eigene Anwendungen zu entwickeln.

Auch wenn es immer wieder empfohlen wird, Software nicht mit Root-Rechten auszuführen, wird das in der Praxis jedoch nicht immer eingehalten. Teilweise gibt es sogar gute Gründe dafür. In anderen Fällen ist es jemandem jedoch einfach nicht klar, wie er eine Anwendung sonst korrekt starten soll. Die vor kurzem entdeckte Lücke in Apache Struts belegt, dass Angreifer kontinuierlich im Internet nach verwundbaren Systemen suchen.

Die Sicherheitslücke wurde in einer Upload-Funktion gefunden, die Teil des Jakarta Multipart-Parsers ist. Dieser Parser ermöglicht es Angreifern, eigene Befehle auszuführen, weil beim Upload das Attribut #cmd=[command] nicht aus dem HTTP-Header entfernt wird.

Die Möglichkeit, darüber eigene Befehle auszuführen, ist vergleichbar mit einem direkten Zugriff auf eine Remote Shell auf einem entfernten Server. Der Angreifer kann mithilfe dieser Sicherheitslücke jeden Befehl auf dem Zielsystem ausführen, den auch der von Struts genutzte Benutzer-Account ausführen darf.

Cisco Talos hat berichtet, dass die Lücke bereits ausgenutzt wurde, um zum Beispiel mit einfachen Kommandos wie whoami Informationen über die Rechte des Nutzers zu erhalten. Der Befehl ifconfig wurde genutzt, um Daten über das lokale Netzwerk zu sammeln. Andere, weit gefährlichere Attacken mit hochgeladenem Schadcode wurden ebenfalls beobachtet.

Apache Struts absichern

Ein Update, das die Sicherheitslücke in Apache Struts schließen soll, wurde bereits im März 2017 veröffentlicht. Das Problem ist jedoch, dass noch bei weitem nicht alle gefährdeten Systeme dieses Update erhalten haben. Angreifer können die Sicherheitslücke also weiterhin ausnutzen.

Neben dem Einspielen des Patches sollten Unternehmen sicherstellen, dass die von ihnen eingesetzt Software mit so wenig Rechten wie möglich läuft. Außerdem sollten sie aktiv nach Sicherheitslücken im eigenen Netzwerk suchen, um Systeme aufzuspüren, die gepatcht werden müssen, und geeignete Netzwerk-Tools einsetzen, mit denen sich diese Art von Attacken aufspüren lässt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

 

Nächste Schritte

Websicherheit: Schwachstellen finden und beseitigen

Risiko unsichere Web-Logins

Die Sicherheit von Webanwendungen verbessern

Artikel wurde zuletzt im Oktober 2017 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close