KW31: CSOC-Event der Woche – Remote-Code-Ausführungen bei Apache Struts

Durchschnittliche CSOC-Gesamtevents pro Tag:     46.131
Detektionshäufigkeit CVE-2017-5638:      28

Eventbeschreibung CVE-2017-5638 / Kritikalität = hoch (10 / 10)

In dieser Woche handelt es sich beim Event der Woche erneut um einen Exploit, der auf eine Remote-Code-Ausführung (Schadcode kann aus der Ferne auf einem Fremdsystem ausgeführt werden) in einer Webanwendung abzielt.

Bei der Webanwendung handelt es sich diesmal speziell um Apache Struts – ein Framework, das der Erstellung von Java-Webanwendungen dient. Die Schwachstelle ist zwar seit Anfang 2017 bekannt, die passenden Angriffsszenarien können von uns allerdings zunehmend beobachtet werden.
Als Quelle der versuchten Remote-Code-Ausführungen können überwiegend Schwachstellenscanner identifiziert werden. Mit diesen Tools wird aktiv nach Systemen gesucht, die die beschriebene Schwachstelle aufweisen. Diese Massenscans dienen häufig dazu, einen Angriff auf die verletzlichen Systeme vorzubereiten.

Sollten Sie einen Apache Struts-Server betreiben, überprüfen Sie bitte Ihr System auf die ordnungsgemäße Installation der aktuellsten Updates!

Technische Beschreibung: CVE-2017-5638

The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1 has incorrect exception handling and error-message generation during file-upload attempts, which allows remote attackers to execute arbitrary commands via a crafted Content-Type, Content-Disposition, or Content-Length HTTP header, as exploited in the wild in March 2017 with a Content-Type header containing a #cmd= string.