Cisco fahndet nach kritischer Apache-Struts-LĂĽcke in seinen Produkten
Der NetzwerkausrĂĽster prĂĽft derzeit, welche Produkte eine verwundbare Version von Apache Struts einsetzen. Darin klafft eine kritische SicherheitslĂĽcke. Updates sind angekĂĽndigt.
Einer noch laufenden Untersuchung zufolge sind bislang nur vergleichsweise wenige Cisco-Geräte von der als kritisch eingestuften Lücke in Apache Struts bedroht. Das geht aus zwei offiziellen Sicherheitswarnungen hervor, in denen der Netzwerkausrüster betroffene und nicht betroffene Produkte auflistet. Cisco gibt an, die Warnungen bei neuen Erkenntnissen zu aktualisieren.
Betroffen sind Cisco zufolge diverse Produkte aus den Bereichen "Cisco Hosted Services", "Network Management and Provisioning" und "Voice and Unified Communications Devices". Derzeit sind noch keine Sicherheitsupdates verfĂĽgbar. Nicht verwundbar sind zum Beispiel der Data Center Network Manager, der Security Manager und das WebEX Meeting Center unter Windows.
Aktive Angriffe – auch in Deutschland
Die LĂĽcke klafft in den Apache-Struts-Ausgaben 2.5 bis einschlieĂźlich 2.5.12. Version 2.5.13 schlieĂźt die Schwachstelle. Die Installation des Updates ist verpflichtend: Es gibt keinen Workaround, um sich gegen Attacken abzusichern.
Sicherheitsforschern von Imperva zufolge nutzen Angreifer die LĂĽcke derzeit aktiv aus. Sie geben an, "tausende Angriffe" dokumentiert zu haben. Ein GroĂźteil davon in China, aber auch in Deutschland soll es Ăśbergriffe geben.
Konkret anfällig sind alle Web-Applikationen, die das populäre REST-Plugin verwenden. Offenbar genügt es, dass ein Angreifer speziell präparierte XML-Daten an die Applikation schickt, um den Fehler auszulösen und Code einzuschleusen. Denn der für die De-Serialisierung zuständige XStreamHandler nimmt offenbar keine Typ-Filterung vor, die das verhindern würde. (des)
