Race-Condition in Apache Tomcat ermöglicht Remote Code Execution (CVE-2024-50379)

Eine schwere Sicherheitslücke in Apache Tomcat, bekannt als CVE-2024-50379, erlaubt Angreifern die Ausführung von Remote Code (RCE) auf betroffenen Systemen. Der Fehler basiert auf einer Time-of-check Time-of-use (TOCTOU) Race Condition während der JSP-Kompilierung und betrifft insbesondere case-insensitive Dateisysteme wie Windows. Die Schwachstelle tritt nur auf, wenn die Default-Servlet-Schreibberechtigung aktiviert ist – eine Konfiguration, die standardmäßig deaktiviert ist.

Betroffene Versionen

• Tomcat 11.0: 11.0.0-M1 bis 11.0.1
• Tomcat 10.1: 10.1.0-M1 bis 10.1.33
• Tomcat 9.0: 9.0.0-M1 bis 9.0.97

Die Schwachstelle wird durch eine TOCTOU Race Condition ausgelöst, bei der ein Angreifer während eines kritischen Zeitfensters eine harmlose Datei (z. B. file.jsp) durch eine bösartige Datei (z. B. FILE.JSP) ersetzen kann. Auf case-insensitive Dateisystemen wie Windows werden beide Dateien als identisch behandelt, was den Angriff ermöglicht.

Proof of Concept (PoC):

1. Der Angreifer lädt zunächst eine harmlose JSP-Datei hoch.
2. Durch die Race Condition überschreibt er diese Datei mit einer bösartigen JSP-Datei, die z. B. eine Remote Command Execution ausführt.
3. Beim Zugriff auf die ursprüngliche Datei wird der Schadcode ausgeführt.

Beispiel: Ein Angreifer kann durch eine bösartige JSP-Datei das Programm calc.exe auf einem Windows-Server starten.

Mit einem CVSS-Score von 9.8 (kritisch) stellt diese Schwachstelle ein erhebliches Risiko dar, insbesondere für Server mit unsicheren Konfigurationen. Angreifer könnten vollständige Kontrolle über betroffene Systeme erlangen.

Empfohlene Maßnahmen

1. Upgrade: Aktualisieren Sie auf die sichere Version:
   • Tomcat 11.0.2
   • Tomcat 10.1.34
   • Tomcat 9.0.98
2. Konfigurationsprüfung: Deaktivieren Sie Schreibberechtigungen für das Default Servlet.
3. Sichere Dateiuploads: Verhindern Sie das direkte Hochladen von JSP-Dateien in öffentlich zugängliche Verzeichnisse.
4. Monitoring: Implementieren Sie Protokollierung und Überwachung, um ungewöhnliche Aktivitäten zu erkennen.

Siehe auch  Welotec TK500v1 Industrie-Router - Angreifer können Systeme übernehmen

Ähnliche Beiträge:

Gitlab Update vom 21.2.2024 behebt kritische XSS Schwachstelle Liferay Portal und DXP: kritische XSS Lücke identifiziert Metabase RCE Exploit veröffentlicht: dringend Server updaten Kritische 10/10 Schwachstelle in Kemp Technologies LoadMaster