Exploit für CVE-2024-38821 erlaubt es in Spring Webflux auf geschützte statische Ressourcen zuzugreifen

Am 25. Oktober 2024 veröffentlichte Spring die Sicherheitslücke CVE-2024-38821, eine kritische Schwachstelle im Zusammenhang mit der Autorisierungsprüfung in Spring WebFlux. Diese Sicherheitslücke betrifft Anwendungen, die Spring WebFlux zur Bereitstellung statischer Ressourcen verwenden und strikte Zugriffsregeln für solche Ressourcen definiert haben. Unter bestimmten Umständen können Angreifer auf geschützte Ressourcen zugreifen, indem sie die Filterregeln umgehen.

Die Schwachstelle liegt in der Funktionalität des WebFilterChainProxy, welcher die Anfrage durch eine Kette von Sicherheitsfiltern leitet, um sicherzustellen, dass nur autorisierte Anfragen weiterbearbeitet werden. Der DispatcherHandler, zuständig für das Routing der HTTP-Anfragen, ermittelt den passenden Handler für eingehende Anfragen und leitet sie an die entsprechenden Ressourcen weiter. Das Problem entsteht, wenn Angreifer den URL-Pfad manipulieren, z. B. durch doppeltes Einfügen von Schrägstrichen wie bei //index.html. Durch diese Pfadänderung kann der Sicherheitsfilter umgangen werden, und die Anfrage erreicht trotz gesetzter Zugriffsregeln die statische Ressource.

Die betroffenen Anwendungen sind dabei jene, die statische Ressourcen wie HTML- und Bilddateien aus Ordnern wie /static oder /public bereitstellen. Die Sicherheitslücke ermöglicht es Angreifern, solche Ressourcen ohne Autorisierung zu laden, was schwerwiegende Folgen für den Schutz sensibler Daten haben kann.

Der Patch zur Behebung der Schwachstelle wurde von Spring veröffentlicht und integriert eine strengere Überprüfung der Anfragen durch den neuen StrictServerWebExchangeFirewall. Diese Komponente überprüft die Anfragen auf verdächtige Änderungen in der URL und verhindert damit den unautorisierten Zugriff. Sicherheitsforscher und Entwickler, die WebFlux verwenden, wird dringend empfohlen, auf die neueste Version zu aktualisieren und zukünftig ein restriktives Sicherheitsmodell zu verwenden, das den Zugriff standardmäßig verweigert und nur explizit genehmigt.

Eine Proof-of-Concept-Implementierung für die Sicherheitslücke wurde veröffentlicht und zeigt den Angriffsfluss auf GitHub auf: PoC zu CVE-2024-38821.

Related Posts

Expertenstimmen zum US National Security Memorandum für Künstliche Intelligenz

München, 29. Oktober 2024 - Das vergangene Woche von der Biden-Administration veröffentlichte National Security Memorandum markiert einen Wendepunkt in der Entwicklung Künstlicher Intelligenz: Was als technologische Innovation begann, ist nun endgültig zu einem Instrument geopolitischer Machtprojektion geworden.

Read More

Apache Lucene .Net: CVE-2024-43383 erlaubt RCE über manipulierte JSON Antworten

: Eine Sicherheitslücke in der Apache Lucene.Net.Replicator-Bibliothek (Versionen 4.8.0-beta00005 bis 4.8.0-beta00016) erlaubt Angreifern durch manipulierte JSON-Antworten, Remote-Code auszuführen oder unberechtigten Zugriff zu erlangen. Nutzer sollten dringend auf Version 4.8.0-beta00017 aktualisieren, die dieses Problem behebt.

Read More

QNAP: Kritische Sicherheitslücke in HBS 3 Hybrid Backup Sync behoben

Am 29. Oktober 2024 wurde eine kritische Sicherheitslücke in HBS 3 Hybrid Backup Sync (Version 25.1.x) gemeldet, die im Rahmen des Pwn2Own 2024 von Viettel Cyber Security entdeckt wurde. Die Schwachstelle (CVE-2024-50388) betrifft alle Versionen vor HBS 3 Hybrid Backup Sync 25.1.1.673 und wurde als “kritisch” eingestuft .

Read More