DoS-Schwachstelle in Eclipse Jetty gefunden

Cyber Security News

Weil Jetty so weit verbreitet ist, bezeichnete ein Forscher die jüngste Sicherheitslücke als “nahe an einem digitalen Alptraum”, insbesondere auf eingebetteten Geräten in industriellen Steuerungssystemen – die oft nicht gepatcht werden können. (Foto von CEphoto, Uwe Aranas)

Forscher fanden am Dienstag eine Denial-of-Service (DoS)-Schwachstelle in Eclipse Jetty, einem weit verbreiteten Open-Source-Webserver und Servlet-Container.

In einem Blog-Post sagten die Forscher des Cybersecurity Research Center (CyRC) von Synopsys, dass sie zwar keine Speicherlecks oder Abstürze aufgrund von CVE-2020-27223 beobachtet haben, dass aber ein Server Minuten brauchen kann, um eine einzige Anfrage zu verarbeiten. Die Forscher beobachteten auch eine exponentielle Beziehung zwischen der Größe der Anfrage und der Dauer der CPU-Nutzung.

Laut der Website der Eclipse Foundation: “Jetty wird in einer Vielzahl von Projekten und Produkten eingesetzt, sowohl in der Entwicklung als auch in der Produktion. Jetty ist seit langem bei Entwicklern beliebt, da es sich leicht in Geräte, Tools, Frameworks, Anwendungsserver und moderne Cloud-Dienste einbinden lässt.”

Weil Jetty so weit verbreitet ist, bezeichnete Dirk Schrader, Global Vice President of Security Research bei New Net Technologies, diese Sicherheitslücke als so etwas wie einen digitalen Alptraum. Schrader sagte, dass dies besonders auf eingebetteten Geräten in industriellen Steuerungssystemen – die oft nicht gepatcht werden können – schwerwiegende Folgen haben kann, da die Verfügbarkeit in IoT-Umgebungen von größter Bedeutung geworden ist.

“Eine Shodan-Suche zeigt etwa 900.000 Einträge für ‘Jetty’, wobei sich die große Mehrheit in den Vereinigten Staaten befindet”, sagte Schrader. “Selbst wenn sich diese Geräte hinter einer Firewall oder in getrennten Netzwerken befinden, bietet diese Schwachstelle Cyber-Kriminellen einen neuen Angriffsvektor für Erpressung. Neben oder statt der Verschlüsselung von Systemen können sie einen DoS auf Geräten mit eingebettetem Jetty-Webserver initiieren, sobald sie Fuß gefasst haben.”

Tal Morgenstern, Mitbegründer und Chief Product Officer bei Vulcan Cyber, sagte, dass Sicherheitsprofis diese Remote-DoS-Schwachstelle durch ein Upgrade von Jetty beheben oder durch die Überwachung und Blockierung großer Anfragen mit Accept Header oder die Überwachung hoher abnormaler CPU-Auslastung entschärfen können.

“Bevor Sie Maßnahmen ergreifen, sollten Sie das Risiko für die Umgebung in Bezug auf den DOS-Angriff abschätzen, da er für einige Server kritischer sein kann als für andere”, sagte Morgenstern.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com