Apache Tomcat weist in den Versionen 9.0.0.M1 bis 9.0.98, 10.1.0-M1 bis 10.1.34 sowie 11.0.0-M1 bis 11.0.2 eine kritische Schwachstelle auf, die aufgrund einer Race Condition die Ausführung von Remote-Code ermöglicht. Mit über 130.000 online exponierten Instanzen stellt diese Schwachstelle ein erhebliches Risiko für Unternehmen weltweit dar.

Produkt	Apache Tomcat
Datum	24.12.2024 13:35:38
Informationen	Trending Fix verfügbar

Technische Zusammenfassung

Die Schwachstelle resultiert aus einer Race Condition bei der Verarbeitung von Datei-Uploads und der Handhabung von Pfaden mit unterschiedlicher Groß-/Kleinschreibung (Case Sensitivity) in Apache Tomcat. Ein Angreifer kann dies wie folgt ausnutzen:

1. Durch das Senden gleichzeitiger PUT-Anfragen mit nicht standardmäßigen Dateiendungen (z. B. .Jsp anstelle von .jsp)
2. Durch die gleichzeitige Durchführung von GET-Anfragen an denselben Pfad mit Standard-Dateiendungen
3. Durch die Ausnutzung der fehlenden Unterscheidung von Groß- und Kleinschreibung im Dateisystem des Servers, um schädlichen Code auszuführen

Diese Schwachstelle ist besonders gefährlich, da:

• Sie mehrere Hauptversionen von Tomcat betrifft
• Sie zur Remote-Code-Ausführung führen kann
• Sie in Standardkonfigurationen vorhanden ist
• Eine erhebliche Anzahl anfälliger Instanzen weiterhin exponiert ist

Auswirkungen

Eine erfolgreiche Ausnutzung könnte es Angreifern ermöglichen:

• Beliebigen Code auf dem Zielsystem auszuführen
• Unbefugten Zugriff auf sensible Daten zu erlangen
• Einen dauerhaften Zugriff auf das System zu etablieren
• Sich seitwärts (Lateral Movement) zu anderen Systemen im Netzwerk zu bewegen
• Die Integrität von Webanwendungen zu gefährden

Empfehlungen

1. Sofortmaßnahmen:

   • Aktualisieren Sie Apache Tomcat auf die folgenden oder neuere Versionen:
     • 9.0.98 für Tomcat 9.x
     • 10.1.34 für Tomcat 10.x
     • 11.0.2 für Tomcat 11.x

2. Härtung der Konfiguration:

   • Implementieren Sie strenge Beschränkungen für Datei-Uploads
   • Konfigurieren Sie die korrekte Handhabung von Dateiendungen
   • Aktivieren Sie nach Möglichkeit den Read-only-Modus für das Standard-Servlet
   • Überprüfen und beschränken Sie HTTP PUT/DELETE-Methoden, falls diese nicht benötigt werden

3. Zusätzliche Sicherheitsmaßnahmen:

   • Wenden Sie WAF-Regeln (Web Application Firewall) an, um Exploit-Versuche zu erkennen und zu blockieren
   • Überwachen Sie verdächtige Muster bei Datei-Uploads und gleichzeitigen Anfragen
   • Erwägen Sie die Implementierung einer Netzwerksegmentierung, um die Exposition zu begrenzen

[Callforaction-THREAT-Footer]