Eine kürzlich gepatchte kritische Apache Struts 2-Schwachstelle mit der Bezeichnung CVE-2024-53677 wird aktiv durch öffentliche Proof-of-Concept-Exploits ausgenutzt, um anfällige Geräte zu finden.
Apache Struts ist ein Open-Source-Framework für die Erstellung von Java-basierten Webanwendungen, die von verschiedenen Organisationen wie Regierungsbehörden, E-Commerce-Plattformen, Finanzinstituten und Fluggesellschaften genutzt werden.
Apache hat die Struts-Schwachstelle CVE-2024-53677 (CVSS 4.0 score: 9.5, "critical") vor sechs Tagen öffentlich bekannt gegeben und erklärt, dass es sich um einen Fehler in der Datei-Upload-Logik der Software handelt, der Pfadüberquerungen und das Hochladen bösartiger Dateien ermöglicht, was zu Remotecodeausführung führen könnte.
Sie wirkt sich auf Struts 2.0.0 bis 2.3.37 (End-of-Life), 2.5.0 bis 2.5.33 und 6.0.0 bis 6.3.0.2 aus.
"Ein Angreifer kann die Parameter für den Datei-Upload manipulieren, um eine Pfadumgehung zu ermöglichen. Unter bestimmten Umständen kann dies dazu führen, dass eine bösartige Datei hochgeladen wird, die zur Ausführung von Remote-Code verwendet werden kann", heißt es im Apache-Sicherheitsbulletin.
Kurz gesagt, CVE-2024-53677 ermöglicht es Angreifern, gefährliche Dateien wie Web-Shells in eingeschränkte Verzeichnisse hochzuladen und sie zu verwenden, um aus der Ferne Befehle auszuführen, weitere Nutzdaten herunterzuladen und Daten zu stehlen.
Die Schwachstelle ähnelt CVE-2023-50164, und es gibt Spekulationen, dass dasselbe Problem aufgrund einer unvollständigen Behebung wieder aufgetaucht ist, ein Problem, das das Projekt bereits in der Vergangenheit geplagt hat.
Der ISC SANS-Forscher Johannes Ullrich berichtet von Ausnutzungsversuchen, die anscheinend öffentlich verfügbare Exploits verwenden oder zumindest stark von ihnen inspiriert sind.
"Wir sehen aktive Exploit-Versuche für diese Schwachstelle, die mit dem PoC-Exploit-Code übereinstimmen. Zum jetzigen Zeitpunkt versuchen die Exploit-Versuche, anfällige Systeme aufzuzählen", berichtet Ullrich.
Angreifer zählen verwundbare Systeme auf, indem sie den Exploit nutzen, um eine "exploit.jsp"-Datei hochzuladen, die eine einzige Codezeile enthält, um die Zeichenfolge "Apache Struts" zu drucken.
Der Angreifer versucht dann, auf das Skript zuzugreifen, um zu überprüfen, ob der Server erfolgreich ausgenutzt wurde. Laut Ullrich wurde der Angriff nur von einer einzigen IP-Adresse aus entdeckt: 169.150.226.162.
Um das Risiko zu minimieren, sollten Apache-Benutzer auf Struts 6.4.0 oder höher aktualisieren und auf den neuen Datei-Upload-Mechanismus umstellen.
Die bloße Anwendung des Patches reicht nicht aus, da der Code, der Datei-Uploads in Struts-Anwendungen verarbeitet, neu geschrieben werden muss, um den neuen Action File Upload-Mechanismus zu implementieren.
"Diese Änderung ist nicht abwärtskompatibel, da Sie Ihre Aktionen neu schreiben müssen, um den neuen Action File Upload-Mechanismus und den zugehörigen Interceptor zu verwenden", warnt Apache.
"Wenn Sie weiterhin den alten Datei-Upload-Mechanismus verwenden, sind Sie anfällig für diesen Angriff."
Mehrere nationale Cybersicherheitsbehörden, darunter die von Kanada, Australien und Belgien, haben öffentliche Warnungen herausgegeben, in denen sie die betroffenen Softwareentwickler auffordern, sofortige Maßnahmen zu ergreifen, da eine aktive Ausnutzung im Gange ist.
Vor genau einem Jahr nutzten Hacker öffentlich zugängliche Exploits, um verwundbare Struts-Server anzugreifen und Remotecodeausführung zu erreichen.
