Hacker nehmen derzeit eine kürzlich gepatchte Sicherheitslücke in Apache Struts ins Visier, die es ihnen erlaubt, aus der Ferne Schadcode auf einem Webserver auszuführen. Die Anfälligkeit steckt im Jakarta Multipart Parser des Development Framework für Java-Webanwendungen, wie Computerworld berichtet. Cisco-Forscher entdeckten demnach nur Stunden nach der Veröffentlichung des Updates für Apache Struts den ersten Exploit auf einer chinesischen Website.
Angreifer erhalten automatisch die Rechte des Nutzers, der den Webserver ausführt. Ist der Server als Root konfiguriert, wird das System vollständig kompromittiert. Aber auch bei eingeschränkten Rechten soll die Lücke immer noch ein sehr ernstes Sicherheitsrisiko darstellen.
„Natürlich glauben wir, dass dieses Problem höchste Priorität hat und dass die Folgen eines erfolgreichen Angriffs schrecklich sind“, schreibt Amol Sarwate, Direktor des Vulnerability Labs von Qualys, in einem Blogeintrag. „Ein Angreifer kann aus der Ferne und ohne Anmeldedaten die vollständige Kontrolle über das System übernehmen.“ Unternehmen, die Apache Struts auf ihren Webservern einsetzten, sollten schnellstmöglich auf die Versionen 2.3.32 oder 2.5.10.1 umsteigen.
Cisco hat nach eigenen Angaben bereits zahlreiche Angriffe auf die Apache-Struts-Lücke dokumentiert. In einigen Fällen werde nur der Linux-Befehl „whoami“ ausgeführt, um die Rechte des angemeldeten Nutzers zu ermitteln. Andere Angriffe gingen jedoch weiter und deaktivierten die Linux-Firewall, um eine ausführbare Datei einzuschleusen und zu starten. Dabei handele sich um unterschiedliche Schadprogramme, darunter ein IRC Bouncer und ein Denial-of-Service-Bot.
Das spanische Sicherheitsunternehmen Hack Players hat dem Bericht zufolge per Google-Suche 35 Millionen Webanwendungen identifiziert, die den Upload-Befehl „filetype:action“ akzeptieren. Ein hoher Anteil davon sei wahrscheinlich angreifbar.
Da die Angriffe auf die am Montag öffentlich gemachte und gepatchte Apache-Struts-Lücke sehr zeitnah begannen, ist nicht ausgeschlossen, dass Hackern die Anfälligkeit schon vorher bekannt war. Nutzer, die das Update nicht sofort einspielen können, können eine Behelfslösung anwenden und einen Servlet-Filter für Inhaltstypen erstellen, der alle Anfragen abweist, die nicht den Multipart/Form-Daten entsprechen. Trend Micro empfiehlt alternativ, auf eine andere Implementierung des Multipart-Parsers umzusteigen.
Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Recall hilft beim Auffinden von beliebigen Dateien und Inhalten. Die neue Funktion führt Microsoft zusammen…
Es tritt auch unter Windows Server auf. Seit Installation der April-Patches treten Fehlermeldungen bei VPN-Verbindungen…
Das neue Release soll es allen Mitarbeitenden möglich machen, zur Ausgestaltung der IT beizutragen.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…