Am 16. Mai 2024 veröffentlichte Sonatype eine Sicherheitswarnung im Nexus Repository 3 über eine Schwachstelle, die es einem nicht authentifizierten Angreifer ermöglicht, auf Systemdateien zuzugreifen, indem er eine speziell gestaltete URL verwendet. Diese Schwachstelle betrifft alle bisherigen Versionen von Sonatype Nexus Repository 3.x OSS/Pro bis einschließlich Version 3.68.0 und wurde in der Version 3.68.1 behoben. Sonatype Nexus Repository ist ein Repository Manager für Binaries und Build Artifakte.
Die Sicherheitslücke erlaubt es Angreifern, Dateien aus dem System zu extrahieren, die außerhalb des regulären Anwendungsbereichs des Nexus Repository liegen. Dies kann ohne jegliche Authentifizierung geschehen, was das Risiko dieser Schwachstelle erheblich erhöht.
Das Problem wurde durch eine interne Codeänderung behoben, und Sonatype empfiehlt allen Benutzern dringend, auf die neueste Version 3.68.1 zu aktualisieren. Sollten sofortige Updates nicht möglich sein, bietet Sonatype alternative Maßnahmen zur Risikominderung an, die auf ihrer Support-Website zu finden sind.
Die Schwachstelle CVE-2024-4956 wurde mit einem CVSS-Score von 7.5 als hoch eingestuft. Der zugrunde liegende CVSS-Vektor lautet: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N. Dies bedeutet, dass der Angriff über das Netzwerk erfolgen kann, eine geringe Komplexität aufweist und keine speziellen Privilegien oder Benutzerinteraktionen erfordert. Die Auswirkungen betreffen hauptsächlich die Vertraulichkeit, da Angreifer auf sensible Systemdateien zugreifen können.
Für Deployments, die nicht sofort aktualisiert werden können, sind alternative Risikominderungsmaßnahmen verfügbar. Diese Maßnahmen umfassen Netzwerksegmentierung, strikte Zugangskontrollen und die Implementierung von Web Application Firewalls (WAF), um unautorisierte Zugriffe zu verhindern.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: