13.12.2023 15:23

Mal wieder Apache Struts: CVE-2023-50164

Wir haben in der Vergangenheit ernsthaft schlechte Erfahrungen mit Schwachstellen in der Apache Struts Library gemacht. Etwa mit CVE-2017-5638 oder CVE-2017-9805. Insbesondere komplexe Webseiten/Portal, oft von größeren Firmen, wurden öfters in Java entwickelt und waren für eine Massenexploitation anfällig.

Daher haben wir die Veröffentlichung einer neuen Schwachstelle in Struts CVE-2023-50164 mit dem CVSS Score von 9.8 initial als besorgniserregend eingestuft.

Wie aber schon letztens geschrieben, ist der CVSS Base Score aber nicht der einzige Faktor, den man bei der Bewertung einer Schwachstelle berücksichtigen sollte. In diesem Fall sprechen ein paar Fakten gegen eine baldige Welle von Webseiteneinbrüchen über CVE-2023-50164:

• Der Fehler ist im Bereich „File Upload“. Das ist bei weitem kein universell verbreitetes Feature in Webseiten und falls ja, dann nicht trivial per Scan der Homepages zu finden.
• Falls eine Seite Uploads anbietet, so meistens nur nach Anmeldung: auch das spricht wieder gegen eine automatisierte Ausnutzung.
• Weitere technische Feinheiten finden sich im Artikel von Praetorian, er fasst die Vorbedingungen für eine Exploitation gut zusammen.

Dagegen spricht, dass es die ersten Meldungen gibt, dass Exploitationversuche auf Honeypots aufgeschlagen sind.

Wir sind schon gespannt, ob uns die EPSS Initiative von FIRST in Zukunft bei der Bewertung von Schwachstellen helfen wird.

Wie auch immer: Nur weil sich die Schwachstelle nicht für vollautomatisierte Ausnutzung eignet, heißt das nicht, dass man nicht trotzdem dringend patchen sollte: Bei gezielten Angriffen werden genau diese Lücken gerne benutzt, weil der Evolutionsdruck („wer bis morgen nicht gepatcht hat, fängt sich Ransomware ein“) nicht zu einer schnellen Remediation geführt hat. Daher ist leider zu erwarten, dass einzelne Server auch noch in den kommenden Monaten mit CVE-2023-50164 aufgemacht werden.