MÜNCHEN (IT BOLTWISE) – Eine kürzlich entdeckte Sicherheitslücke in Apache Struts sorgt für Aufsehen in der IT-Sicherheitsbranche. Die Schwachstelle, die unter CVE-2024-53677 geführt wird, ermöglicht potenziell die Ausführung von Remote-Code und hat bereits erste Exploit-Versuche in der Wildnis ausgelöst.
Die Sicherheitslücke in Apache Struts, die als CVE-2024-53677 bekannt ist, hat eine kritische Bewertung mit einem CVSS-Score von 9,5 erhalten. Diese Schwachstelle könnte es Angreifern ermöglichen, Remote-Code auszuführen, indem sie die Dateiupload-Parameter manipulieren, um Pfad-Traversal zu ermöglichen. Unter bestimmten Umständen kann dies zur Hochladung bösartiger Dateien führen, die dann zur Ausführung von Befehlen oder zum Herunterladen weiterer Schadsoftware genutzt werden können.
Die betroffenen Versionen umfassen Struts 2.0.0 bis 2.3.37 (End-of-Life), Struts 2.5.0 bis 2.5.33 und Struts 6.0.0 bis 6.3.0.2. Ein Patch steht in Struts 6.4.0 oder höher zur Verfügung. Dr. Johannes Ullrich vom SANS Technology Institute weist darauf hin, dass ein unvollständiger Patch für CVE-2023-50164 möglicherweise zu diesem neuen Problem geführt hat. Erste Exploit-Versuche, die dem öffentlich zugänglichen Proof-of-Concept entsprechen, wurden bereits entdeckt.
Die Angreifer versuchen derzeit, verwundbare Systeme zu identifizieren und die hochgeladenen Skripte zu finden. Bisher stammen die Scans nur von der IP-Adresse 169.150.226[.]162. Um das Risiko zu minimieren, wird Nutzern empfohlen, so schnell wie möglich auf die neueste Version zu aktualisieren und ihren Code auf den neuen Action File Upload-Mechanismus umzustellen.
Apache Struts ist ein zentraler Bestandteil vieler Unternehmens-IT-Infrastrukturen und treibt sowohl öffentliche Portale als auch interne Produktivitätsanwendungen und kritische Geschäftsabläufe an. Saeed Abbasi von der Threat Research Unit bei Qualys betont, dass die Popularität von Struts in solchen hochsensiblen Kontexten bedeutet, dass eine Sicherheitslücke wie CVE-2024-53677 weitreichende Auswirkungen haben könnte.
Die Entdeckung dieser Schwachstelle wirft auch ein Licht auf die Herausforderungen, denen sich Entwickler und IT-Sicherheitsverantwortliche gegenübersehen, wenn es um die Sicherung komplexer Software-Stacks geht. Die Notwendigkeit, schnell auf Sicherheitslücken zu reagieren und Patches zu implementieren, ist entscheidend, um die Integrität und Sicherheit von IT-Systemen zu gewährleisten.
In der Vergangenheit haben ähnliche Schwachstellen in Apache Struts zu erheblichen Sicherheitsvorfällen geführt, was die Dringlichkeit unterstreicht, mit der Unternehmen auf solche Bedrohungen reagieren müssen. Die kontinuierliche Überwachung und Anpassung von Sicherheitsstrategien ist unerlässlich, um den sich ständig weiterentwickelnden Bedrohungslandschaften gerecht zu werden.
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Conversational AI und Cloud Spezialist (m/w/d)
AI Engineer / Software Engineer (gn)
Dualer Student (m/w/d) Data Science & Künstliche Intelligenz - Smart Operations Management
Solution Manager(w/m/d) Architecture for Data & AI Strategy
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Kritische Sicherheitslücke in Apache Struts entdeckt: Exploit-Versuche in der Wildnis" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Kritische Sicherheitslücke in Apache Struts entdeckt: Exploit-Versuche in der Wildnis" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die deutsche Google-Suchmaschine für eine weitere Themenrecherche: »Kritische Sicherheitslücke in Apache Struts entdeckt: Exploit-Versuche in der Wildnis« bei Google Deutschland suchen und bei Google News recherchieren!