ISGroup Cybersicherheitsberatung

Denial-of-Service-Schwachstelle bei der Verarbeitung von Multipart-Anfragen in Apache Struts (CVE-2025-64775)

Apache Struts ist ein weit verbreitetes Open-Source-Framework für die Erstellung moderner Java-Webanwendungen. Seine Verbreitung in Unternehmensumgebungen und öffentlich zugänglichen Websites macht es zu einer kritischen Komponente der Internet-Infrastruktur und zu einem hochkarätigen Ziel für Angreifer.

Diese Schwachstelle stellt ein hohes Risiko dar, da sie es einem nicht authentifizierten Remote-Angreifer ermöglicht, einen Denial-of-Service-Zustand (DoS) herbeizuführen. Die Auswirkung besteht in der Erschöpfung des Speicherplatzes, wodurch die Webanwendung und potenziell der gesamte zugrunde liegende Server nicht mehr reagieren können. Dies führt zu Unterbrechungen des Geschäftsbetriebs, beeinträchtigt die Benutzererfahrung negativ und kann wirtschaftliche Verluste verursachen.

Obwohl derzeit keine bestätigten Berichte über eine aktive Ausnutzung in realen Umgebungen vorliegen, ist ein öffentlicher Exploit verfügbar. Dies erhöht die Wahrscheinlichkeit opportunistischer oder gezielter Angriffe auf anfällige Systeme erheblich. Jeder im Internet exponierte Server, auf dem eine anfällige Version von Apache Struts ausgeführt wird, sollte als unmittelbar gefährdet betrachtet werden.

ProduktApache Struts
Datum03.12.2025 16:47:36

Technische Zusammenfassung

Die Hauptursache dieser Schwachstelle ist eine unsachgemäße Bereinigung von Ressourcen innerhalb der Multipart-Anforderungsverarbeitungskomponente von Apache Struts. Wenn ein Benutzer Daten, wie beispielsweise eine Datei, über eine Multipart-Anfrage sendet, erstellt das Framework temporäre Dateien auf dem Festplattenspeicher des Servers, um die Daten zu verarbeiten. Die Schwachstelle liegt in der Unfähigkeit, diese temporären Dateien nach der Verarbeitung der Anfrage ordnungsgemäß zu löschen.

Die Angriffskette stellt sich wie folgt dar:

  1. Ein Angreifer sendet eine Reihe speziell präparierter Multipart-Anfragen an einen Endpunkt einer Anwendung, die auf einer anfälligen Version von Apache Struts basiert.
  2. Der Multipart-Request-Parser des Frameworks verarbeitet jede Anfrage und erstellt für jede eine temporäre Datei auf der Festplatte.
  3. Aufgrund des Fehlers führt das Framework die notwendige Bereinigungslogik nicht aus, wodurch verwaiste temporäre Dateien im Dateisystem zurückbleiben.
  4. Durch die Wiederholung dieses Prozesses kann ein Angreifer den verfügbaren Speicherplatz schrittweise füllen und schließlich eine vollständige Erschöpfung des Speicherplatzes verursachen. Dies führt zu einem Denial of Service, da die Anwendung und andere Systemprozesse nicht mehr auf die Festplatte schreiben können.

Dieses Problem betrifft Apache Struts-Versionen von 2.0.0 bis 6.7.0 sowie von 7.0.0 bis 7.0.3. Die Schwachstelle wurde in den Versionen 6.7.1, 7.0.4 und neueren behoben. Ein nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um den Dienst zu verweigern, ohne dass spezielle Privilegien erforderlich sind.

Empfehlungen

  • Sofortiges Update: Führen Sie ein Upgrade aller Apache Struts-Instanzen auf die neuesten und sichersten Versionen durch, wie z. B. 6.7.1 oder 7.0.4, die den Fix für die Schwachstelle enthalten.
  • Abhilfemaßnahmen: Wenn der Patch nicht sofort angewendet werden kann, ziehen Sie die Implementierung eines Rate-Limitings für Endpunkte in Betracht, die multipart/form-data-Anfragen verarbeiten, um die Erstellung von Dateien zu verlangsamen. Web Application Firewalls (WAF) können konfiguriert werden, um fehlerhafte Multipart-Anfragen zu blockieren, auch wenn dies das Update nicht ersetzt.
  • Threat Hunting und Überwachung:
    • Überwachen Sie die Festplattenauslastung von Servern, auf denen Apache Struts-Anwendungen ausgeführt werden, auf plötzliche und unerklärliche Anstiege.
    • Untersuchen Sie das Verzeichnis für temporäre Dateien, das vom Java-Anwendungsserver verwendet wird (z. B. das temp-Verzeichnis in Apache Tomcat), um sicherzustellen, dass keine anomalen Dateien vorhanden sind, die nicht entfernt werden.

  • Reaktion auf Vorfälle: Im Falle einer vermuteten Kompromittierung sollten Sie umgehend die verwaisten temporären Dateien von der Festplatte löschen, um den Dienst wiederherzustellen. Isolieren Sie den kompromittierten Host und analysieren Sie die Zugriffsprotokolle des Webservers auf wiederholte POST-Anfragen von einer einzelnen IP-Adresse. Bewahren Sie die Protokolle für die forensische Analyse auf, bevor Sie den notwendigen Patch anwenden.
  • Defense-in-Depth: Stellen Sie sicher, dass der Webdienst mit einem Benutzer mit niedrigen Privilegien ausgeführt wird, der über Quotas verfügt, die die Fähigkeit zur Erschöpfung des Festplattenspeichers auf Systemebene einschränken. Dies kann dazu beitragen, die Auswirkungen des DoS auf die Anwendung selbst zu begrenzen, anstatt den gesamten Server zu beeinträchtigen. Führen Sie regelmäßige Backups von Daten und kritischen Konfigurationen durch.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *