Cisco fahndet nach kritischer Apache-Struts-Lücke in seinen Produkten
Der Netzwerkausrüster prüft derzeit, welche Produkte eine verwundbare Version von Apache Struts einsetzen. Darin klafft eine kritische Sicherheitslücke. Updates sind angekündigt.
Einer noch laufenden Untersuchung zufolge sind bislang nur vergleichsweise wenige Cisco-Geräte von der als kritisch eingestuften Lücke in Apache Struts bedroht. Das geht aus zwei offiziellen Sicherheitswarnungen hervor, in denen der Netzwerkausrüster betroffene und nicht betroffene Produkte auflistet. Cisco gibt an, die Warnungen bei neuen Erkenntnissen zu aktualisieren.
Betroffen sind Cisco zufolge diverse Produkte aus den Bereichen "Cisco Hosted Services", "Network Management and Provisioning" und "Voice and Unified Communications Devices". Derzeit sind noch keine Sicherheitsupdates verfügbar. Nicht verwundbar sind zum Beispiel der Data Center Network Manager, der Security Manager und das WebEX Meeting Center unter Windows.
Aktive Angriffe – auch in Deutschland
Die Lücke klafft in den Apache-Struts-Ausgaben 2.5 bis einschließlich 2.5.12. Version 2.5.13 schließt die Schwachstelle. Die Installation des Updates ist verpflichtend: Es gibt keinen Workaround, um sich gegen Attacken abzusichern.
Sicherheitsforschern von Imperva zufolge nutzen Angreifer die Lücke derzeit aktiv aus. Sie geben an, "tausende Angriffe" dokumentiert zu haben. Ein Großteil davon in China, aber auch in Deutschland soll es Übergriffe geben.
Konkret anfällig sind alle Web-Applikationen, die das populäre REST-Plugin verwenden. Offenbar genügt es, dass ein Angreifer speziell präparierte XML-Daten an die Applikation schickt, um den Fehler auszulösen und Code einzuschleusen. Denn der für die De-Serialisierung zuständige XStreamHandler nimmt offenbar keine Typ-Filterung vor, die das verhindern würde. (des)
