Das BSI warnt vor einer kürzlich entdeckte Schwachstelle (CVE-2024-38428) in Wget, die es remote anonymen Angreifern ermöglicht die Ausnutzung eines Fehlers im URL-Parsing, um potenziell schädliche Angriffe durchzuführen. Die Schwachstelle betrifft Wget-Versionen bis einschließlich 1.24.5 und hat einen CVSS-Basis-Score von 6,3 (mittel). Die Sicherheitslücke wurde am 17. Juni 2024 bekanntgegeben und am 19. Juni 2024 durch ein Update behoben.
Wget, ein beliebtes Kommandozeilenprogramm zum Herunterladen von Dateien, basierte bisher auf dem veralteten RFC 2396-Standard von 1998 zur Verarbeitung von URLs. Trotz der veralteten Standards war die Implementierung der Benutzerinformationskomponente fehlerhaft. Konkret konnte Wget Semikolons in der Benutzerinformationskomponente einer URL nicht korrekt interpretieren, was zu Sicherheitsrisiken führte. Diese Fehler im Parsing könnten Angreifer ausnutzen, um Missinterpretationen der URL zu erzwingen, was unter anderem zu falschen DNS-Anfragen, möglichen Phishing-Angriffen und der unabsichtlichen Offenlegung sensibler Daten führen könnte.
In einem E-Mail-Austausch wurde betont, dass die aktuelle Implementierung von Wget 1.x nicht mit dem URI-Standard RFC 3986 konform ist, der Semikolons in der Benutzerinformationskomponente erlaubt. Die fehlerhafte Verarbeitung führte zu einer unsicheren Handhabung von Anmeldedaten und der Möglichkeit für Angreifer, Phishing- und Spoofing-Angriffe durchzuführen oder Man-in-the-Middle-Angriffe zu erleichtern.
Tim Rühsen, einer der Entwickler, bestätigte am 19. Juni 2024, dass ein Fix implementiert wurde (Commit ed0c7c7e0e8f7298352646b2fd6e06a11e242ace), um die Parsing-Logik zu korrigieren. Der Fix basiert weiterhin auf dem RFC 2396-Standard, wurde jedoch angepasst, um die Benutzerinformationskomponente korrekt zu interpretieren. Da Wget 1.x auf diesem veralteten Standard basiert, wird es keine vollständige Umstellung auf modernere Standards geben. Nutzer sollten prüfen, ob sie auf die neuere Version Wget2 umsteigen können, die bereits von Fedora 40 verwendet wird und eine robustere Implementierung bietet.
Es wird dringend empfohlen, Wget auf die neueste Version zu aktualisieren, um die Sicherheitslücke zu schließen. Details zum Update und den Fix finden sich auf der GitHub Advisory Database sowie in der GNU-Mailingliste.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: