Sonatype hat eine schwere Sicherheitslücke in Nexus Repository Manager 2.x entdeckt, die potenziell gefährliche Auswirkungen auf Nutzer dieser Software haben könnte. Die Schwachstelle CVE-2024-5082 ermöglicht es Angreifern, durch das Veröffentlichen speziell präparierter Maven-Artefakte auf betroffene Systeme Remote Code Execution (RCE) auszuführen. Die Lücke betrifft alle Versionen von Nexus Repository 2.x bis einschließlich Version 2.15.1.
Ein Angreifer, der über die nötigen Berechtigungen zum Veröffentlichen von Maven-Artefakten auf einem Nexus Repository Server verfügt, kann ein speziell präpariertes Artefakt mit einer Schadsoftware veröffentlichen. Sobald ein Benutzer dieses Artefakt herunterlädt, wird die eingebettete Nutzlast auf dem Server ausgeführt. Diese Art von Angriff ermöglicht es einem böswilligen Akteur, weitreichenden Zugriff auf die betroffene Instanz zu erlangen und möglicherweise den gesamten Server zu kompromittieren. Diese Art von Schwachstelle ist besonders gefährlich, da sie es Angreifern ermöglicht, Code auf dem Server auszuführen, was zu einer vollständigen Kompromittierung des Systems führen kann. Das bedeutet, dass Angreifer nicht nur Zugriff auf sensible Daten erhalten könnten, sondern auch die Kontrolle über das gesamte Repository-System übernehmen könnten.
Die Schwachstelle wurde von Michael Stepankin (artsploit) im Rahmen des Sonatype Bug Bounty Programms entdeckt und verantwortungsvoll gemeldet. Sonatype hat die Sicherheitslücke schnell verifiziert und eine Lösung in der Version 2.15.2 bereitgestellt.
Falls ein sofortiges Upgrade nicht möglich ist, können Administratoren eine benutzerdefinierte WAF-Regel implementieren, um den Exploit zu blockieren. Die Regel zielt darauf ab, schadhafte Anforderungen zu erkennen und abzulehnen, die das potenzielle Exploit-Muster enthalten. Hierbei müssen einige Voraussetzungen erfüllt sein, wie zum Beispiel der Betrieb von Nexus Repository Manager 2 hinter einem AWS Application Load Balancer (ALB), der mit AWS WAF integriert ist.
Die WAF-Regel blockiert Pfade mit verdächtigen Mustern, wie etwa doppelte Schrägstriche (//), die häufig in bösartigen Exploits verwendet werden. Die Konfiguration der Regel erfolgt über die AWS-Konsole und umfasst die Erstellung einer Web-ACL sowie die Definition spezifischer Blockierungsrichtlinien.
Sonatype hat auch darauf hingewiesen, dass Nexus Repository 2.x nur noch unter Extended Maintenance läuft. Das Unternehmen empfiehlt daher allen Nutzern von Nexus Repository 2.x, auf Sonatype Nexus Repository 3 umzusteigen, um von den neuesten Funktionen und Sicherheitsupdates zu profitieren.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: