Noch eine kurze Meldung aus dem Bereich Sicherheit. Eine Zero-Day-Schwachstelle in einem jQuery File Upload-Plugin war Cyber-Kriminellen bekannt und wird seit mindestens 3 Jahren ausgenutzt. Es gibt zwar einen Fix, aber offenbar sind noch viele veraltete Fassungen (Forks) des Plugins im Einsatz.
Anzeige
Die Information findet sich in diesem ZDNet.com-Beitrag, der auf die Problematik hinweist. Die Schwachstelle betrifft das jQuery File Upload Plugin, das von dem deutschen Entwickler Sebastian Tschan (Blueimp) geschrieben wurde.
jQuery File Upload Plugin-Schwachstelle
Das Plugin ist das zweithäufigste benutzte jQuery-Projekt auf GitHub, am häufigsten wird das jQuery-Framework abgerufen. Das jQuery File Upload Plugin wurde über 7.800 Mal als Fork angelegt und dann in möglicherweise Tausenden anderer Projekte integriert. Das Plugin findet sich in CMS, CRM, Intranetlösungen, WordPress-Plugins, Drupal-Add-ons, Joomla-Komponenten und so weiter.
Eine Schwachstelle in einem solchen Plugin ist verheerend, da sie Sicherheitslücken in vielen Plattformen aufreißt. Und genau dieses Worst-Case-Szenario ist passiert. Anfang 2018 hat Larry Cashdollar, ein Sicherheitsforscher für Akamais SIRT (Security Intelligence Response Team), eine Schwachstelle im Quellcode des Plugins entdeckt, die Datei-Uploads auf PHP-Server verarbeitet.
Diese Schwachstelle ermöglicht Angreifern bösartige Dateien (für Backdoors und Shells) auf Server hochzuladen. Gegenüber ZDNet sagte Larry Cashdollar, dass die Schwachstelle in the wild seit 2016 ausgenutzt werde. Die Schwachstelle scheint eine der am schlechtesten gehüteten Geheimnisse der Hackerszene gewesen zu und bereits vor 2016 aktiv genutzt worden zu sein.
Anzeige
Alle jQuery File Upload-Versionen vor 9.22.1 sind anfällig. Da die Schwachstelle auf spezifischem PHP-Code für den Datei-Upload basiert, sollten andere serverseitige Implementierungen als sicher angesehen werden.
Ursache für CVE-2018-9206 in Apache
Nachdem Cashdollar den Zero-Day-Bug Anfang des Monats an Blueimp meldete, untersuchte dieser die Schwachstelle. Der Entwicklers identifizierte die Ursache der Schwachstelle nicht im Code des Plugins, sondern in einer Änderung im Apache Web Server Projekt aus dem Jahr 2010. Am 23. November 2010, nur fünf Tage bevor Blueimp die erste Version seines Plugins auf den Markt brachte, hat die Apache Foundation die Version 2.3.9 des Apache HTTPD-Servers veröffentlicht. Dieses Release wirkte sich indirekt auf das erwartete Verhalten des Plugins auf Apache Servern aus.
Ab dieser Version unterstützte der Apache HTTPD-Server eine Option, die es dem Serverbesitzer ermöglicht, benutzerdefinierte Sicherheitseinstellungen für einzelne Ordnern über .htaccess-Dateien zu ignorieren. Diese Einstellung wurde aus Sicherheitsgründen vorgenommen, war standardmäßig aktiviert und blieb es auch für alle nachfolgenden Versionen des Apache HTTPD-Servers.
Das jQuery File Upload-Plugin setzte aber voraus, dass eine benutzerdefinierte .htaccess-Datei existiert, um Sicherheitseinschränkungen für seinen Upload-Ordner festzulegen. Und genau das war vom Apache HTTPD-Team fünf Tage zuvor geändert worden – das grundlegende Design des Plugins war damit sicherheitstechnisch wertlos. Inzwischen hat Blueimp sein Pluging überarbeitet, aber viele Forks nutzen noch den alten Code. Laut Sicherheitsforscher sind so gut wie alle Forks angreifbar. Cashdollar hat das Ganze in diesem Akamai-Blog-Beitrag dokumentiert – weitere Details lassen sich bei ZDNet nachlesen.
Anzeige