CVE-2017-5638: Apache Struts 2-Lücke erlaubt Code-Ausführung

Originalartikel von Suraj Sahu, Vulnerability Research Engineer

Apache Struts ist ein kostenloses quelloffenes Framework für die Erstellung von Java Webapplikationen. Die Sicherheitsforscher von Trend Micro fanden bei der Analyse vergangener Remote Code Execution (RCE)-Lücken in Apache Struts heraus, dass die meisten Angreifer Object Graph Navigation Language (OGNL) Expressions verwendet hatten. Mit OGNL ist es einfach, aus der Ferne beliebigen Code auszuführen, weil das Framework die Sprache in den meisten Prozessen verwendet. Ein Forscher fand im Zuge des Einsatzes von OGNL in Apache Struts 2 auch eine neue Sicherheitslücke, CVE-2017-5638. Dazu gibt es Reports zufolge bereits einen Exploit.

Angriffsszenario

Die Lücke kann ausgenutzt werden, wenn der Angreifer eine speziell aufgesetzte Anfrage zum Hochladen einer Datei auf einen angreifbaren Server absetzt, der ein Jakarta-basiertes Plugin für die Verarbeitung der Anfrage nutzt.

Der Angreifer kann dann bösartigen Code in den Content-Type Header senden, um den Befehl auf dem verwundbaren Server auszuführen. Ein Proof of Concept dazu ist öffentlich verfügbar. Technische Einzelheiten für ein besseres Verständnis der Sicherheitslücke liefert der Originalbeitrag.

Lösungen von Trend Micro

Trend Micro Deep Security™ schützt Endpoints vor dieser Bedrohung. Trend Micro Deep Discovery Inspector umfasst die Erkennung, tiefgehende Analyse und proaktive Reaktion auf Angriffe, die Exploits einsetzen. Dafür nutzt die Lösung spezielle Engines, anpassbares Sandboxing sowie eine nahtlose Korrelation über den gesamten Angriffszyklus hinweg. Auf diese Weise werden solche Angriffe erkannt, ohne dass Pattern-Updates notwendig sind.

Deep Security liefert für diese Sicherheitslücke folgende DPI-Regel:

  • 1008207 – Apache Struts2 Remote Code Execution Vulnerability (CVE-2017-5638)

Deep Discovery Inspector liefert folgende DDI-Regel:

  • Beta Rule ID: 3421 – CVE-2017-5638_HTTP_APACHESTRUTS_EXPLOIT

TippingPoint-Kunden sind über Custom Shield Writer (CSW) und MainlineDV Filter geschützt:

  • CSW: HTTP: Apache Struts Content-type Command Injection Vulnerability (CVE-2017-5638)
  • 27410: HTTP: Apache Struts Content-type Command Injection Vulnerability (CVE-2017-5638)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*