Kritisk sikkerhedshul i populær webserver-komponent

Webservere med Apache Struts kan udføre vilkårlig kode.

En kritisk sårbarhed i Apache Struts gør det muligt at overtage en webserver, der benytter softwaren. Struts er open source-middleware i Java, som implementerer det klassiske model-view-controller programmeringsmønster for webapplikationer.

Ifølge sikkerhedsforsker Man Yue Mo fra firmaet Lgtm Security, som opdagede hullet, benyttes softwaren af et stort antal virksomheder i mange brancher. Sårbarheden udgør en stor risiko, da Struts ofte anvendes i webapplikationer rettet imod det offentlige internet. Det benyttes for eksempel i mange flybooking- og internetbank-systemer.

»Derudover er det utrolig nemt for en angriber at udnytte denne svaghed; alt, du har brug for, er en webbrowser,« udtaler han ifølge et blogindlæg på virksomhedens hjemmeside.

Organisationer, der benytter Struts, opfordres til at opgradere komponenterne hurtigst muligt.

Alle versioner af Struts udgivet siden 2008 indeholder sårbarheden. Hullet er lukket i den seneste udgave, version 2.5.13.

Afvikler vilkårlig kode

Sårbarheden gør det muligt for en angriber at afvikle vilkårlig kode på en hvilken som helst server, som er vært for en applikation, der benytter Struts og dets populære REST-komponent. Svagheden skyldes den måde, hvorpå Struts deserialiserer data, som softwaren ikke bør stole på.

Deserialisering er processen, hvor et objekt laves om til en strøm af bytes, som kan sendes over nettet og gemmes på disk for senere at blive indlæst igen. Det er en almindelig kendt type fejl i Java-verdenen. Der er endnu ikke tegn på, at hullet er udnyttet, men Lgtm vurderer, at det snart vil være tilfældet.

Analysefirmaet Redmonk vurderer, at mindst 65 procent af de såkaldte Fortune 100-selskaber, som er en liste over de største amerikanske virksomheder opgjort af magasinet Fortune, er berørt af sårbarheden. Det omfatter blandt andet Lockheed Martin, det amerikanske skattevæsen, Citigroup, Vodafone og Virgin Atlantic samt mange andre virksomheder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere