März 2024: Eine neu identifizierte Sicherheitslücke bedroht die Sicherheit der Artica-Proxy Verwaltungswebanwendung. Bei CVE-2024-2054 handelt sich um eine kritische Schwachstelle, die es nicht authentifizierten Angreifern ermöglicht, willkürlich Code auf dem Server, auf dem Artica-Proxy läuft, mit den Rechten des „www-data“ Benutzers auszuführen. Betroffen ist insbesondere die Artica-Proxy Verwaltungswebanwendung in der Version 4.50.
Artica Proxy ist eine Open-Source-Softwarelösung mit über 100.000 Installationen weltweit. Der Proxy bietet Funktionalitäten wie Webfilterung und Internetproxy-Dienste, einschließlich Inhaltfilterung, Bandbreitenmanagement, Caching und Benutzerauthentifizierung.
Die Schwachstelle resultiert aus einer unsicheren Deserialisierung von PHP-Objekten in der Verwaltungswebanwendung von Artica Proxy. Angreifer können durch das Senden speziell gestalteter HTTP-Anfragen an den Endpunkt „/wizard/wiz.wizard.progress.php“ willkürlich Code ausführen. Ein betroffener Parameter („build-js“) wird ohne vorherige Authentifizierung verarbeitet, wodurch Angreifer die Möglichkeit haben, PHP-Objekte zu manipulieren und Code im Kontext des „www-data“ Benutzers auszuführen.
Technisch gesehen ermöglicht die Schwachstelle einem unauthentifizierten Benutzer, die Datei „wiz.wizard.progress.php“ zu missbrauchen, um bestehende Dateien zu überschreiben und schädlichen PHP-Code einzufügen, was zu einer vollständigen Kompromittierung des Servers führen kann.
Als Gegenmaßnahme empfiehlt es sich, das Verzeichnis ‚usr/share/artica-postfix/wizard‘ zu löschen, falls es nicht benötigt wird, oder es aus dem Web-Root-Verzeichnis zu verschieben. Bis dato hat der Hersteller nicht auf die Schwachstelle reagiert.
Angesichts der Schwere der Sicherheitslücke und dem bereits bekannten Proof of Concept für ein Exploit wird Administratoren von Artica-Proxy dringend empfohlen, ihre Systeme zu überprüfen und entsprechende Sicherheitsvorkehrungen zu treffen, um sich vor möglichen Angriffen zu schützen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: