Bedrohungsbeschreibung: Informationen zur kritischen Sicherheitslücke in Apache Struts, CVE-2018-11776

Christopher Budd


Category: Unkategorisiert
 

This post is also available in: English (Englisch) 繁體中文 (Traditionelles Chinesisch) 한국어 (Koreanisch) Nederlands (Niederländisch) Türkçe (Türkisch) Español (Spanisch) Italiano (Italienisch)

Die aktuelle Situation

Am 22. August 2018 veröffentlichte die Apache Foundation ein kritisches Sicherheits-Update für CVE-2018-1176, eine Sicherheitslücke in den Apache-Struts-Versionen 2.3 bis 2.3.34 und 2.5 bis 2.5.16, die es Angreifern ermöglichen kann, per Fernzugriff eigenen Code auf fremden Systemen auszuführen. In diesem Zusammenhang hat die Apache Foundation alle Nutzer dringend aufgefordert, die bereitgestellten Sicherheits-Updates schnellstmöglich einzuspielen.

Dieser Blogbeitrag soll Unternehmen dabei helfen, das durch diese Sicherheitslücke entstehende Risiko einzuschätzen. Außerdem erläutert er Schutzmaßnahmen, mit denen die Betroffenen die Gefahr bis zur erfolgreichen Installation der Updates minimieren können. Kunden von Palo Alto Networks, die die neuesten Schwachstellensignaturen vom 24. August 2018 implementiert haben, sind bereits geschützt.

 

Informationen zur Sicherheitslücke

Laut der Apache Foundation und dem Sicherheitsforscher Man Yue Mo kann diese Schwachstelle dazu genutzt werden, per Fernzugriff Code auf einem Server auszuführen, auf dem eine anfällige Version von Apache Struts läuft. Ein entsprechender Angriff würde mithilfe einer speziell für diesen Zweck eingerichteten URL erfolgen, die an das anfällige System gesendet wird. Das bedeutet, dass in den meisten Fällen keine Authentifizierung erforderlich ist, um die Sicherheitslücke auszunutzen.

Bei einem erfolgreichen Angriff würde der von den Hackern eingeschleuste Code mit den Zugriffsrechten von Struts ausgeführt. Dies könnte in manchen Fällen dazu führen, dass die Angreifer faktisch die volle Kontrolle über das komplette System erlangen.

Zugleich muss jedoch darauf hingewiesen werden, dass die Sicherheitslücke in Standardkonfigurationen nicht ausgenutzt werden kann. Ein System ist nur dann angreifbar, wenn die folgenden beiden Voraussetzungen erfüllt sind:

In der Konfiguration von Struts ist der Flag alwaysSelectFullNamespace auf „true“ gesetzt. (Hinweis: Wenn Ihre Anwendung das beliebte Struts Convention Plugin nutzt, ist dieser Flag standardmäßig auf „true“ gesetzt.)

Die Struts-Anwendung verwendet „Aktionen“, für die kein Namespace festgelegt wurde oder die mit einem Wildcard-Namespace konfiguriert sind. Diese Voraussetzung betrifft Aktionen und Namespaces, die im Konfigurationsfile von Struts spezifiziert sind. HINWEIS: Wenn Ihre Anwendung das beliebte Struts-Convention-Plugin nutzt, gilt diese Voraussetzung auch für im Java-Code spezifizierte Aktionen und Namespaces.

Wenn nur eine oder keine der beiden Voraussetzungen erfüllt sind, könnte Ihre Struts-Anwendung trotzdem noch anfällig sein, auch wenn sie (derzeit) nicht unter Ausnutzung von CVE-2018-11776 angreifbar ist.

Dies trifft insbesondere dann zu, wenn Ihre Anwendungen das Struts-Convention-Plugins nutzt, da Anwendungen mit diesem Plugin im Vergleich zu anderen Struts-basierten Systemen (ohne das Plugin) einem höheren potenziellen Risiko ausgesetzt zu sein scheinen.

 

Einschätzung der Bedrohungslage

Die Sicherheitslücke wurde am 22. August veröffentlicht – zeitgleich mit den zu ihrer Schließung nötigen Sicherheits-Updates. Andererseits stehen mittlerweile detaillierte Informationen über die Sicherheitslücke und mögliche Methoden zu ihrer Ausnutzung zur Verfügung. Außerdem wurde bereits der Code eines entsprechenden Machbarkeitsnachweises (Proof-of-Concept, PoC) veröffentlicht. Wie bereits erwähnt, funktioniert dieser PoC nur bei Systemen, die anfällig sind und die beiden oben genannten Voraussetzungen erfüllen.

Allerdings wurde von verschiedener Seite darauf hingewiesen, dass eine andere, im vergangenen Jahr entdeckte kritische Sicherheitslücke von Struts nur drei Tage nach der Veröffentlichung des Sicherheits-Updates und der Schwachstelleninformationen von Angreifern ausgenutzt wurde.

Dieses Mal liegen bisher keine Informationen über versuchte Angriffe vor, was wohl auf die Tatsache zurückzuführen ist, dass für eine erfolgreiche Ausnutzung der Sicherheitslücke zwei Voraussetzungen erfüllt sein müssen, die in vielen Fällen aufgrund der Standardeinstellungen von Struts nicht gegeben sind.

Da jedoch ein funktionierender PoC zur Verfügung steht, ist in naher Zukunft damit zu rechnen, dass Angreifer die neue Sicherheitslücke zumindest sondieren.

Deshalb sollten sich die Verantwortlichen in den betroffenen Unternehmen bei der Einschätzung des Risikos für den Zeitraum bis zum Einspielen der Patches die folgenden vier Fragen stellen:

  • Wird der Struts-Convention-Plugin verwendet?
  • Werden Anwendungen eingesetzt, die beide oben genannten Voraussetzungen erfüllen?
  • Gibt es Hinweise auf Angriffe unter Einsatz des aktuellen PoC oder auf eine anderweitige Ausnutzung der Sicherheitslücke?
  • Werden neue Exploits oder Angriffsmethoden entwickelt, die auch dann eingesetzt werden können, wenn die beiden genannten Voraussetzungen nicht gegeben sind?

 

Empfehlungen und Schutzmaßnahmen für Kunden von Palo Alto Networks

Alle Unternehmen, die anfällige Versionen von Apache Struts nutzen, sollten die entsprechenden Sicherheits-Updates so schnell wie möglich implementieren.

Die für die Installation nötigen Maßnahmen können und sollten gemäß der jeweils geltenden Sicherheitsrichtlinien sowie auf Basis der aktuell verfügbaren Informationen und einer fundierten Risikoabschätzung geplant und umgesetzt werden.

Kunden von Palo Alto Networks, die die in Version 8057 der Inhaltsfreigabe enthaltenen Schwachstellensignaturen vom 24. August 2018  – einschließlich der Signatur mit der Bezeichnung „ID 33948 Apache Struts 2 Remote Code Execution Vulnerability“ – implementiert haben, sind gegen aktuell bekannte Exploits dieser Sicherheitslücke geschützt.

Unsere Kunden sollten auf jeden Fall das Sicherheits-Update wie oben empfohlen installieren und parallel die aktuellen Schwachstellensignaturen implementieren, um zusätzlichen Schutz zu erhalten. Darüber hinaus können und sollten sie den von Palo Alto Networks verfügbaren stärkeren Schutz berücksichtigen, wenn sie Entscheidungen zum Thema Sicherheit treffen, die Installation der Sicherheits-Updates einleiten und eine Risikoabschätzung der Sicherheitslücke und der damit zusammenhängenden Bedrohungen vornehmen.

Wie immer beobachten wir die Situation genauestens und stellen zusätzliche Informationen bereit, sobald diese zur Verfügung stehen.

Got something to say?

Get updates: Unit 42

Sign up to receive the latest news, cyber threat intelligence and research from Unit42

By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement.


© 2018 Palo Alto Networks, Inc. All rights reserved.