Beratung Dezember 12, 2023

Kritische Sicherheitslücke in Apache Struts 2 - CVE-2023-50164

Überblick:

Die Apache Software Foundation hat einen Sicherheitshinweis veröffentlicht, der eine kritische Sicherheitslücke im Open-Source-Webanwendungs-Framework Apache Struts 2 behebt, die als CVE-2023-50164 verfolgt wird. Diese Sicherheitsanfälligkeit birgt ein erhebliches Risiko der Remotecodeausführung aufgrund einer fehlerhaften „Datei-Upload-Logik“, die eine nicht autorisierte Pfadumgehung ermöglicht.

Details der Verwundbarkeit:

Die Schwachstelle liegt in der Handhabung von Dateiupload-Parametern durch das Framework. Ein nicht authentifizierter, entfernter Angreifer könnte diesen Fehler ausnutzen, um eine unautorisierte Pfadüberquerung durchzuführen, die möglicherweise eine Navigation durch die Verzeichnisstruktur des Servers ermöglicht. Dies könnte zum Hochladen einer bösartigen Datei und letztlich zur Remotecodeausführung führen.

Betroffene Versionen:

Die Auswirkungen erstrecken sich auf mehrere Versionen, darunter:

  • Struts 2.0.0 bis 2.5.32
  • Struts 6.0.0 bis 6.3.0.1

Schritte zur Schadensbegrenzung:

Patches für die Sicherheitslücke sind in Apache Struts Version 2.5.33 und 6.3.0.2 oder höher verfügbar. Die Projektbetreuer raten allen Entwicklern dringend, dieses Upgrade durchzuführen, da es sich um einen einfachen Drop-in-Ersatz handelt.

Historischer Kontext:

Obwohl es derzeit keine Beweise für eine böswillige Ausnutzung in realen Angriffen gibt, ist es wichtig, darauf hinzuweisen, dass eine frühere Sicherheitslücke in Apache Struts (CVE-2017-5638) im Jahr 2017 von Bedrohungsakteuren ausgenutzt wurde, was zu einer erheblichen Datenverletzung führte. Dies unterstreicht, wie wichtig es ist, solche Schwachstellen umgehend zu beheben, um einen möglichen Missbrauch zu verhindern.

Referenzen:

https://thehackernews.com/2023/12/new-critical-rce-vulnerability.html

https://www.helpnetsecurity.com/2023/12/08/cve-2023-50164/

https://securityaffairs.com/155643/hacking/apache-struts-2-critical-flaw.html?web_view=true

https://threatprotect.qualys.com/2023/12/08/apache-struts2-remote-code-execution-vulnerability-cve-2023-50164/

https://cwiki.apache.org/confluence/display/WW/S2-066

https://nvd.nist.gov/vuln/detail/CVE-2023-50164

 

Demo buchen