Am 25. Oktober 2024 veröffentlichte Spring die Sicherheitslücke CVE-2024-38821, eine kritische Schwachstelle im Zusammenhang mit der Autorisierungsprüfung in Spring WebFlux. Diese Sicherheitslücke betrifft Anwendungen, die Spring WebFlux zur Bereitstellung statischer Ressourcen verwenden und strikte Zugriffsregeln für solche Ressourcen definiert haben. Unter bestimmten Umständen können Angreifer auf geschützte Ressourcen zugreifen, indem sie die Filterregeln umgehen.
Die Schwachstelle liegt in der Funktionalität des WebFilterChainProxy, welcher die Anfrage durch eine Kette von Sicherheitsfiltern leitet, um sicherzustellen, dass nur autorisierte Anfragen weiterbearbeitet werden. Der DispatcherHandler, zuständig für das Routing der HTTP-Anfragen, ermittelt den passenden Handler für eingehende Anfragen und leitet sie an die entsprechenden Ressourcen weiter. Das Problem entsteht, wenn Angreifer den URL-Pfad manipulieren, z. B. durch doppeltes Einfügen von Schrägstrichen wie bei //index.html. Durch diese Pfadänderung kann der Sicherheitsfilter umgangen werden, und die Anfrage erreicht trotz gesetzter Zugriffsregeln die statische Ressource.
Die betroffenen Anwendungen sind dabei jene, die statische Ressourcen wie HTML- und Bilddateien aus Ordnern wie /static oder /public bereitstellen. Die Sicherheitslücke ermöglicht es Angreifern, solche Ressourcen ohne Autorisierung zu laden, was schwerwiegende Folgen für den Schutz sensibler Daten haben kann.
Der Patch zur Behebung der Schwachstelle wurde von Spring veröffentlicht und integriert eine strengere Überprüfung der Anfragen durch den neuen StrictServerWebExchangeFirewall. Diese Komponente überprüft die Anfragen auf verdächtige Änderungen in der URL und verhindert damit den unautorisierten Zugriff. Sicherheitsforscher und Entwickler, die WebFlux verwenden, wird dringend empfohlen, auf die neueste Version zu aktualisieren und zukünftig ein restriktives Sicherheitsmodell zu verwenden, das den Zugriff standardmäßig verweigert und nur explizit genehmigt.
Eine Proof-of-Concept-Implementierung für die Sicherheitslücke wurde veröffentlicht und zeigt den Angriffsfluss auf GitHub auf: PoC zu CVE-2024-38821.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: