Eine kritische, hartnäckige neue Sicherheitslücke in Apache Struts 2 wird möglicherweise bereits aktiv ausgenutzt, und die Behebung ist nicht so einfach wie das Herunterladen eines Patches.
Streben 2 ist ein Open-Source-Framework für die Entwicklung von Java-Anwendungen. Obwohl Struts 2 seine Blütezeit längst hinter sich hat, ist es nach wie vor in älteren Legacy-Systemen in allen Branchen verbreitet. Die neu entdeckte Sicherheitslücke ist auf die weite Verbreitung und das hohe Alter des Frameworks zurückzuführen. CVE-2024-53677CVSS 9.5 - so knifflig. Da seine Komponenten veraltet sind und neuere Technologien und Sicherheitspraktiken sich weiterentwickelt haben, kann die Behebung neu auftretender Probleme wie dieses mehr als nur einen Standard-Patch erfordern.
"Das Risiko liegt in der Tatsache, dass ältere Anwendungen weniger wahrscheinlich in eine moderne CI/CD-Pipeline integriert sind", erklärt Chris Wysopal, Chief Security Evangelist bei Veracode. "Die Aktualisierung der Struts-2-Bibliothek, die Erstellung und das Deployment einer neuen Version einer anfälligen Anwendung erfordern daher mehr manuellen Aufwand und dauern deutlich länger. Dieser erhebliche Aufwand führt zu einem längeren Zeitfenster, in dem Angreifer diese Schwachstelle ausnutzen können."
Wysopal schätzt ein: "Es ist wahrscheinlich, dass wir die Ausnutzung dieser Schwachstelle noch wochenlang sehen werden, da Unternehmen alle Instanzen der Struts-2-Nutzung finden und beheben."
RCE-Fehler in Apache Struts 2
Fast auf den Tag genau zur gleichen Zeit im letzten Jahr wurde eine Struts 2-Schwachstelle mit einer "kritischen" Bewertung von 9,8 im Common Vulnerability Scoring System (CVSS) der Öffentlichkeit bekannt gegeben. CVE-2023-50164 resultiert aus der Fähigkeit der Angreifer, die Parameter für den Datei-Upload zu manipulieren und so die Tür zur Pfadüberwindung zu öffnen. Unter bestimmten Bedingungen konnte ein Angreifer ein speziell präpariertes bösartiges Skript hochladen, um Remotecodeausführung (RCE) auf einem Server zu erreichen.
CVE-2024-53677 ist CVE-2023-50164 regen. Auch sie liegt in der Komponente File Upload Interceptor von Struts 2, die für die Handhabung von Datei-Uploads verantwortlich ist, und ermöglicht RCE über Path Traversal. In einem Blog-Post spekuliert Johannes Ullrich vom SANS Institute, dass ein unzureichender Patch für CVE-2023-50164 zu diesem jüngsten Déjà-vu geführt.
Er beobachtete auch aktive Ausnutzungsversuche von einer IP-Adresse aus, die eine öffentlicher Konzeptnachweis (PoC). Der Angreifer spielte mit der Sicherheitslücke, indem er "ein Einzeiler-Skript hochlud, das 'Apache Struts' zurückgeben soll. Anschließend versucht der Angreifer, das hochgeladene Skript zu finden. Der Exploit-Versuch kommt dem ursprünglichen PoC sehr nahe. Seitdem wurde ein leicht verbesserter Exploit in dasselbe GitHub-Repository hochgeladen", schrieb er.
Normalerweise wird Unternehmen in solchen Situationen geraten, so schnell wie möglich Patches anzuwenden. Im Fall von CVE-2024-53677 ist die Geschichte nicht ganz so einfach.
Unternehmen müssen auf die neueste Version von Struts, 6.7.0, aktualisieren - oder zumindest auf 6.4.0, die im Zuge der Sicherheitslücke CVE-2023-50164 veröffentlicht wurde, die den File Upload Interceptor veraltet hat. Der Fix ist nicht abwärtskompatibelApache weist jedoch in seinem Sicherheitsbulletin darauf hin. IT-Teams müssen auf den neumodischen Action File Upload Interceptor umstellen und die Handhabung von Datei-Uploads in ihren bestehenden Anwendungen anpassen, indem sie ihren Code sorgfältig umschreiben, um ihn nutzen zu können.
"Es handelt sich nicht um einen einfachen Versionssprung", warnt Saeed Abbasi, Manager für Schwachstellenforschung bei Qualys. "Es erfordert das Neuschreiben von Code, Konfigurationsanpassungen und kann bestehende Logik und Abhängigkeiten aufbrechen. In komplexen Umgebungen stellt das Entfernen aller Spuren des Legacy-Interceptors aufgrund der komplizierten Plug-in-Ketten und mehrschichtigen Frameworks eine große Herausforderung dar. Diese Komplexität wird durch die Notwendigkeit umfangreicher Regressionstests noch verstärkt."
Der potenzielle Umfang der Auswirkungen von CVE-2024-53677
Die nationalen Zentren für Cybersicherheit in Australien, Belgien, KanadaSingapur und Großbritannien haben alle dringende Sicherheitswarnungen zu CVE-2024-53677 veröffentlicht. Dass dieses Problem so viel Aufmerksamkeit erregt hat, mag auf den ersten Blick nicht auffallen, da Struts 2 von Entwicklern heute so selten verwendet wird. Es lebt jedoch in Legacy-Systemen weltweit weiter.
In den 2000er Jahren war Struts 2 der König unter den Java-Web-Frameworks. Bis 2007 erhielt es fast 350.000 Downloads pro Monat. Ihre Website wurde monatlich millionenfach besucht, und auch ihr Newsletter hatte Tausende von Abonnenten. Heute, so Wysopal, "hat es keine Anziehungskraft mehr auf die breite Masse und wird nur noch selten für neue Projekte ausgewählt. Seine Präsenz ist eher ein Artefakt historischer Übernahme als aktiver Popularität.
Sein "Reich" ist auf stabile, ältere Anwendungen in konservativen Branchen beschränkt - insbesondere im Finanz- und Versicherungswesen, in der Regierung und in der Großproduktion oder Logistik - oft in Organisationen und Regionen, die reguliert sind und bei denen eine Modernisierung weniger wahrscheinlich ist", sagt er. Ein typisches Beispiel: Eine Struts-2-Schwachstelle war das Herzstück von der berüchtigte Equifax-Verstoß von 2017.
Wie verbreitet ist Struts 2 in Legacy-Systemen im Jahr 2024? Abbasi berichtet, dass Qualys innerhalb der ersten 24 Stunden nach dem Bekanntwerden von CVE-2024-53677 "Zehntausende von verwundbaren Instanzen beobachtet hat, was den Umfang und die Dringlichkeit der Herausforderung widerspiegelt".
Seiner Ansicht nach "verdeutlicht das Fortbestehen von Struts 2 in kritischen Systemen, lange nachdem sicherere Frameworks aufgetaucht sind, den ständigen Kampf der Unternehmen mit technischen Schulden. Viele Unternehmen setzen Struts-Versionen über das Ende ihrer Lebensdauer hinaus ein, ohne dies richtig zu planen, was die Auswirkungen neuer Schwachstellen verstärkt. Unternehmen brauchen ein solides Management der Angriffsfläche und Strategien für das Lebenszyklusmanagement, um sicherzustellen, dass kritische Frameworks regelmäßig aktualisiert und veraltete Komponenten schnell ausgemustert werden."