{"id":94620,"date":"2018-11-19T05:02:21","date_gmt":"2018-11-19T13:02:21","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=94620"},"modified":"2018-11-19T05:02:21","modified_gmt":"2018-11-19T13:02:21","slug":"bedrohungsbeschreibung-informationen-zur-kritischen-sicherheitsluecke-apache-struts-cve-2018-11776","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2018\/11\/bedrohungsbeschreibung-informationen-zur-kritischen-sicherheitsluecke-apache-struts-cve-2018-11776\/?lang=de","title":{"rendered":"Bedrohungsbeschreibung: Informationen zur kritischen Sicherheitsl\u00fccke in Apache Struts, CVE-2018-11776"},"content":{"rendered":"

Die aktuelle Situation<\/strong><\/p>\n

Am 22.\u00a0August\u00a02018 ver\u00f6ffentlichte<\/a> die Apache Foundation ein kritisches Sicherheits-Update f\u00fcr CVE-2018-1176<\/a><\/u>, eine Sicherheitsl\u00fccke in den Apache-Struts-Versionen 2.3 bis 2.3.34 und 2.5 bis 2.5.16, die es Angreifern erm\u00f6glichen kann, per Fernzugriff eigenen Code auf fremden Systemen auszuf\u00fchren. In diesem Zusammenhang hat die Apache Foundation alle Nutzer dringend aufgefordert, die bereitgestellten Sicherheits-Updates schnellstm\u00f6glich einzuspielen.<\/p>\n

Dieser Blogbeitrag soll Unternehmen dabei helfen, das durch diese Sicherheitsl\u00fccke entstehende Risiko einzusch\u00e4tzen. Au\u00dferdem erl\u00e4utert er Schutzma\u00dfnahmen, mit denen die Betroffenen die Gefahr bis zur erfolgreichen Installation der Updates minimieren k\u00f6nnen. Kunden von Palo Alto Networks, die die neuesten Schwachstellensignaturen vom 24.\u00a0August\u00a02018 implementiert haben, sind bereits gesch\u00fctzt.<\/p>\n

 <\/p>\n

Informationen zur Sicherheitsl\u00fccke<\/strong><\/p>\n

Laut der Apache Foundation und dem Sicherheitsforscher Man Yue Mo<\/a><\/u> kann diese Schwachstelle dazu genutzt werden, per Fernzugriff Code auf einem Server auszuf\u00fchren, auf dem eine anf\u00e4llige Version von Apache Struts l\u00e4uft. Ein entsprechender Angriff w\u00fcrde mithilfe einer speziell f\u00fcr diesen Zweck eingerichteten URL erfolgen, die an das anf\u00e4llige System gesendet wird. Das bedeutet, dass in den meisten F\u00e4llen keine Authentifizierung erforderlich ist, um die Sicherheitsl\u00fccke auszunutzen.<\/p>\n

Bei einem erfolgreichen Angriff w\u00fcrde der von den Hackern eingeschleuste Code mit den Zugriffsrechten von Struts ausgef\u00fchrt. Dies k\u00f6nnte in manchen F\u00e4llen dazu f\u00fchren, dass die Angreifer faktisch die volle Kontrolle \u00fcber das komplette System erlangen.<\/p>\n

Zugleich muss jedoch darauf hingewiesen werden, dass die Sicherheitsl\u00fccke in Standardkonfigurationen nicht ausgenutzt werden kann. Ein System ist nur dann angreifbar, wenn die folgenden beiden Voraussetzungen erf\u00fcllt sind:<\/p>\n

In der Konfiguration von Struts ist der Flag alwaysSelectFullNamespace<\/a><\/u> auf \u201etrue\u201c gesetzt. (Hinweis: Wenn Ihre Anwendung das beliebte Struts Convention Plugin<\/a><\/u> nutzt, ist dieser Flag standardm\u00e4\u00dfig auf \u201etrue\u201c gesetzt.)<\/p>\n

Die Struts-Anwendung verwendet \u201eAktionen\u201c, f\u00fcr die kein Namespace festgelegt wurde oder die mit einem Wildcard-Namespace konfiguriert sind. Diese Voraussetzung betrifft Aktionen und Namespaces, die im Konfigurationsfile von Struts spezifiziert sind. HINWEIS: Wenn Ihre Anwendung das beliebte Struts-Convention-Plugin nutzt, gilt diese Voraussetzung auch f\u00fcr im Java-Code spezifizierte Aktionen und Namespaces.<\/p>\n

Wenn nur eine oder keine der beiden Voraussetzungen erf\u00fcllt sind, k\u00f6nnte Ihre Struts-Anwendung trotzdem noch anf\u00e4llig sein, auch wenn sie (derzeit) nicht unter Ausnutzung von CVE-2018-11776 angreifbar ist.<\/p>\n

Dies trifft insbesondere dann zu, wenn Ihre Anwendungen das Struts-Convention-Plugins nutzt, da Anwendungen mit diesem Plugin im Vergleich zu anderen Struts-basierten Systemen (ohne das Plugin) einem h\u00f6heren potenziellen Risiko ausgesetzt zu sein scheinen.<\/p>\n

 <\/p>\n

Einsch\u00e4tzung der Bedrohungslage<\/strong><\/p>\n

Die Sicherheitsl\u00fccke wurde am 22.\u00a0August ver\u00f6ffentlicht \u2013 zeitgleich mit den zu ihrer Schlie\u00dfung n\u00f6tigen Sicherheits-Updates. Andererseits stehen mittlerweile detaillierte Informationen \u00fcber die Sicherheitsl\u00fccke und m\u00f6gliche Methoden zu ihrer Ausnutzung zur Verf\u00fcgung. Au\u00dferdem wurde bereits der Code eines entsprechenden Machbarkeitsnachweises (Proof-of-Concept, PoC) ver\u00f6ffentlicht. Wie bereits erw\u00e4hnt, funktioniert dieser PoC nur bei Systemen, die anf\u00e4llig sind und die beiden oben genannten Voraussetzungen erf\u00fcllen.<\/p>\n

Allerdings wurde von verschiedener Seite darauf hingewiesen, dass eine andere, im vergangenen Jahr entdeckte kritische Sicherheitsl\u00fccke von Struts nur drei Tage nach der Ver\u00f6ffentlichung des Sicherheits-Updates und der Schwachstelleninformationen von Angreifern ausgenutzt wurde.<\/p>\n

Dieses Mal liegen bisher keine Informationen \u00fcber versuchte Angriffe vor, was wohl auf die Tatsache zur\u00fcckzuf\u00fchren ist, dass f\u00fcr eine erfolgreiche Ausnutzung der Sicherheitsl\u00fccke zwei Voraussetzungen erf\u00fcllt sein m\u00fcssen, die in vielen F\u00e4llen aufgrund der Standardeinstellungen von Struts nicht gegeben sind.<\/p>\n

Da jedoch ein funktionierender PoC zur Verf\u00fcgung steht, ist in naher Zukunft damit zu rechnen, dass Angreifer die neue Sicherheitsl\u00fccke zumindest sondieren.<\/p>\n

Deshalb sollten sich die Verantwortlichen in den betroffenen Unternehmen bei der Einsch\u00e4tzung des Risikos f\u00fcr den Zeitraum bis zum Einspielen der Patches die folgenden vier Fragen stellen:<\/p>\n