Sicherheitslücke in jQuery-File-Upload Plug-in macht unzählige Server verwundbar

Offenbar attackieren Angreifer seit Jahren Apache-Web-Server, die das jQuery-File-Upload-Plug-in einsetzen. Durch das Ausnutzen einer Sicherheitslücke (CVE-2018-9206) sollen sie mit vergleichsweise wenig Aufwand Schadcode auf Servern ausführen können.

Die Lücke hat weitreichende Folgen, da das Plug-in in sehr vielen Web-Anwendungen zum Einsatz kommt. Darunter beispielsweise Content Management Systeme, Drupal-Addons und WordPress-Plug-ins, führt der Sicherheitsforscher Larry Cashdollar von Akamai in einem Blog-Beitrag aus.

Anleitungen für Angriffe

Nun ist ein Patch erschienen und die Entwickler haben jQuery File Upload in der Version 9.22.1 abgesichert. Alle vorigen Ausgaben sollen angreifbar sein. Im Kern klafft die Lücke im Umgang von PHP-Apps mit dem Upload von Dateien.

Während seiner Recherche ist Cashdollar auf Youtube-Videos aus dem Jahr 2015 gestoßen, die zeigen, wie man die Lücke ausnutzt. Bislang gibt es aber keine dokumentierten Fälle. Die Schwachstelle nun überall zu schließen, ist jedoch schier unmöglich: Zu viele Web-Anwendungen setzen es ein und außerdem existieren auf Github über 7800 Forks – der Großteil soll ebenfalls verwundbar sein.

Ursprung der Schwachstelle

Der Kern der Lücke liegt aber nicht direkt im Plugin-Code, sondern geht auf eine Änderung von Ende 2010 in Apache-HTTPD-Server zurück. Dabei haben die Apache-Entwickler die Handhabe mit den Konfigurationsdateien .htaccess verändert. Von da an gab es eine Option für Server-Betreiber, um via .htaccess konfigurierte Sicherheitseinstellungen für individuelle Ordner zu ignorieren. Diese Einstellung ist standardmäßig aktiv.

Das jQuery-File-Upload-Plug-in bezieht seine Berechtigungen zum Hochladen von Dateien in bestimmte Ordner jedoch aus einer benutzerdefinierten .htaccess-Datei: Das Sicherheitsproblem ist geboren. (des)