CVE-2023-50164 hat 2023 in der Cybersicherheits-Community erhebliche Sicherheitsbedenken ausgelöst. Dieser kritische Fehler (der am 7. Dezember 2023 veröffentlicht wurde) in Apache Struts 2, einem weit verbreiteten Open-Source-Framework für Webanwendungen, hatte das Potenzial, von böswilligen Akteuren ausgenutzt zu werden, was zur Remotecodeausführung führen konnte (RCE) und schwerwiegende Systembeeinträchtigungen.
Organisationen, die Apache Struts einsetzen, mussten ihre Gefährdung durch CVE-2023-50164-Exploits bewerten und Gegenmaßnahmen ergreifen, um potenzielle Sicherheitsverletzungen zu verhindern. Obwohl Patches verfügbar sind, sollten Organisationen, die diese Schwachstelle noch nicht behoben haben, sofort handeln. In diesem Beitrag werden wir die Details des CVE-2023-50164-Exploits, seine Auswirkungen, umsetzbare Sicherheitsempfehlungen und vieles mehr untersuchen. Lesen Sie weiter!
Was ist CVE-2023-50164?
CVE-2023-50164 ist eine identifizierte kritische Schwachstelle in Apache Struts 2 und betrifft die Versionen 2.0.0 bis 2.5.32 und 6.0.0 bis 6.3.0. Die Schwachstelle entstand aufgrund einer unzureichenden Eingabevalidierung im Datei-Upload-Mechanismus, wodurch Angreifer Sicherheitskontrollen umgehen und beliebigen Code auf dem Zielsystem ausführen konnten.
Diese Schwachstelle wurde als RCE-Risiko eingestuft und ist daher besonders gefährlich für Organisationen, die für ihre Webanwendungen auf Apache Struts angewiesen sind. Durch die erfolgreiche Ausnutzung von CVE-2023-50164 konnten böswillige Akteure unbefugten Zugriff erlangen, bösartige Payloads ausführen und möglicherweise Berechtigungen innerhalb der kompromittierten Umgebung erhöhen.
Aber wie hat es funktioniert?
Technische Analyse des Exploits
Die Schwachstelle entstand durch unzureichende Sicherheitsmaßnahmen bei der Datei-Upload-Funktion. Angreifer konnten diesen Fehler ausnutzen, indem sie bösartige HTTP-Anfragen erstellten, die Upload-Beschränkungen umgingen und beliebigen Code in das System einschleusten.
Angriffsvektor und Ausnutzung von CVE-2023-50164
Der Exploit CVE-2023-50164 geschah auf folgende Weise:
1️⃣ Hochladen bösartiger Dateien mit Absicht: Der Angreifer übermittelte eine speziell entwickelte Datei, die Sicherheitsfilter umging
2️⃣ Ausführung willkürlichen Codes: Die hochgeladene Datei wurde innerhalb der Anwendung verarbeitet, was die Ausführung nicht autorisierter Skripte oder Befehle ermöglichte
3️⃣ Systemkompromiss: Nach der Ausführung konnte der Angreifer die App manipulieren, vertrauliche Daten exfiltrieren oder weitere Exploits einsetzen, um die Berechtigungen zu erhöhen.
Eine erfolgreiche Ausnutzung könnte zu einer vollständigen Systemübernahme, Datendiebstahl oder der Verbreitung weiterer Schadsoftware führen.
Betroffene Versionen und Systeme
Zu den von CVE-2023-50164 betroffenen Apache Struts-Versionen gehörten:
- Struts 2.0.0 bis 2.5.32
- Struts 6.0.0 bis 6.3.0
Alle Anwendungen, die auf diesen Versionen basieren, ohne dass Abhilfemaßnahmen implementiert wurden, waren gefährdet. Organisationen, die Apache Struts verwenden, sollten ihre Gefährdung bewertet und Sicherheitspatches angewendet haben. Diejenigen, die die Patches noch nicht installiert haben, müssen sofort handeln.
Erkennung und Indikatoren für Kompromittierungen (IoCs)
Sicherheitsteams müssen die folgenden Indikatoren überwachen, um potenzielle Exploit-Versuche für CVE-2023-50164 zu erkennen:
🔹 Ungewöhnliche Datei-Uploads mit ausführbaren Skripten in Verzeichnissen, in denen normalerweise nicht ausführbare Dateien gespeichert sind
🔹 Unerwartete Prozessausführungen im Zusammenhang mit hochgeladenen Dateien
🔹 Anomale HTTP-Anfragen mit verdächtigen Nutzdaten, die auf Datei-Upload-Endpunkte abzielen
🔹 Unbefugte Änderungen an Web-Anwendungsdateien oder -konfigurationen
Die proaktive Überwachung von Serverprotokollen, Dateiintegrität und Endpunktaktivitäten bleibt von entscheidender Bedeutung, um Exploit-Versuche im Zusammenhang mit CVE-2023-50164 zu erkennen und zu verhindern.
Einige mögliche Minderungsstrategien
Organisationen, die CVE-2023-50164 noch nicht entschärft haben, sollten umgehend die folgenden Schritte unternehmen:
1. Sicherheitspatches anwenden
– Die Apache Software Foundation hat gepatchte Versionen zur Behebung von CVE-2023-50164 veröffentlicht.
– Organisationen sollten umgehend auf Struts 2.5.33 oder 6.3.0.2 aktualisieren.
2. Beschränken Sie die Berechtigungen zum Hochladen von Dateien
– Begrenzen Sie die Dateitypen und -größen, die hochgeladen werden können.
– Erzwingen Sie strenge Zugriffskontrollen für Dateispeicherorte.
3. Implementieren Sie Web Application Firewalls (WAFs)
– Konfigurieren Sie WAF-Regeln, um bösartige HTTP-Anfragen zu erkennen und zu blockieren, die versuchen, CVE-2023-50164 auszunutzen.
4. Überwachen Sie das Anwendungsverhalten
– Setzen Sie Systeme zur Erkennung von Verhaltensanomalien ein, um verdächtige Aktivitäten im Zusammenhang mit CVE-2023-50164-Exploits zu identifizieren und einzudämmen.
5. Sichere Codierungspraktiken durchsetzen
– Entwickler sollten sichere Eingabevalidierungstechniken integrieren, um nicht autorisierte Datei-Uploads zu verhindern und RCE-Risiken zu mindern.
Sehen Sie sich unsere Non-Gated SafeDev Talk-Folge „Open-Source-Sicherheit“ an und holen Sie sich Expertenratschläge und umsetzbare Erkenntnisse!
Ausnutzungen in der Praxis und Bedrohungslage
Nach der Offenlegung von CVE-2023-50164 wurde in Cybersicherheitsberichten auf aktive Scan- und Ausnutzungsversuche hingewiesen, die auf ungepatchte Apache Struts-Instanzen abzielten.
Es wurden Bedrohungsakteure beobachtet:
⚠️ Einsatz von Web-Shells für dauerhaften Zugriff auf kompromittierte Systeme
⚠️ Ausnutzen ungepatchter Server zur Datenexfiltration und lateralen Bewegung
⚠️ Nutzung der Schwachstelle als erster Zugangspunkt bei mehrstufigen Cyberangriffen
Zwar konnten die unmittelbaren Risiken durch Patches weitgehend gemindert werden, Unternehmen müssen jedoch auch in Zukunft wachsam gegenüber ähnlichen Bedrohungen bleiben.
Wie kann Xygeni helfen?
Wie wir bereits erklärt haben, handelte es sich bei CVE-2023-50164 um eine kritische Apache Struts-Sicherheitslücke, die für einige Organisationen ein erhebliches Risiko darstellte. Obwohl Patches veröffentlicht wurden, müssen Organisationen sicherstellen, dass sie diese implementiert haben, um eine weitere potenzielle Ausnutzung zu verhindern.
Proaktives Handeln Schwachstellenmanagement bleibt der Schlüssel zur Minderung von Software-Sicherheitsrisiken und zur Sicherung enterprise Anwendungen gegen neue Bedrohungen. Bei Xygeni bieten wir eine Erweiterte Software-Sicherheitslösung um Organisationen dabei zu helfen, Risiken im Zusammenhang mit Software-Schwachstellen wie CVE-2023-50164 zu erkennen und zu mindern. Einige der am meisten geschätzten Funktionen sind:
- Bedrohungserkennung in Echtzeit
- Rauschunterdrückung
- Erreichbarkeit, Priorisierung & Ausnutzbarkeit
- Automatisierte Sicherheitskonformität
- Kontinuierliche Überwachung zum Schutz kritischer Anwendungen
- Und vieles mehr!
Erfahren Sie mehr darüber, wie Xygeni Ihre Software-Lieferkette vor neuen Bedrohungen schützen kann: Demo anfordern or Melden Sie sich noch heute für eine kostenlose Testversion an!
