Angriffscode für Oracle Java Cloud Service veröffentlicht

Ein Sicherheitsforscher hat technische Einzelheiten und sogar fertigen Angriffscode für 30 Sicherheitslücken in Oracles Java Cloud Service veröffentlicht (PDF). Darunter sind auch solche, mit denen ein Angreifer in Cloud-Rechenzentren laufende Apps attackieren könnte. Laut Security Explorations sind Kunden von Oracles Rechenzentren in den USA und Europa betroffen.

Publik gemacht hat diese Angriffsmöglichkeiten Adam Gowdiak, der Chef des polnischen Unternehmens Security Explorations. Oracle habe die Korrespondenz mit ihm eingestellt, berichtet er. Das Unternehmen habe ihm zwar versichert, für 24 der 30 Lücken seien Patches fertig, wollte sich jedoch nicht auf einen Zeitpunkt für die Veröffentlichung festlegen.

Dass zum von Gowdiak nun vorgelegten Material auch neun Angriffswerkzeuge gehören, die als Proof-of-Concept dienen sollen, dürfte den Druck auf den Softwarekonzern noch erhöhen. Der Schadcode nutzt eine Kombination aus 19 Lücken, die mit einer unsicheren Implementierung der Java Reflection API in einer Umgebung mit Weblogic Server zusammenhängen. „Nutzt man sie erfolgreich aus, kann man problemlos die Java-Sandbox einer Weblogic-Server-Instanz kompromittieren“, erklärt Gowdiak.

Anschließend ließen sich fremde Apps angreifen und Java-Code ausführen: „Ein Angreifer kann dies weiter nutzen, um sich Zugang zu Anwendungen anderer User von Oracle Java Cloud im gleichen regionalen Rechenzentrum zu verschaffen. Das schließt sowohl Zugang zu den Anwendungen der anderen Nutzer und ihren Datenbanken ein als auch Ausführen beliebigen Codes auf ihren Systemen.“ Dies habe Security Explorations schon verifizieren können.

Durch eine Kombination von vier weiteren Lücken lassen sich zudem Verifikationsprozesse umgehen, ebenso wie Systeme für Whitelisting und Antivirensoftware, die in Oracles Cloud Java Software dazu dienen sollen, unerwünschte Funktionen abzublocken. Außerdem verwende Oracle in seinen Rechenzentren für die USA und Europa veraltete Versionen von Java SE 6 und 7. Etwa 120 seit Ende 2012 veröffentlichte Updates fehlten ihr, schreibt Gowdiak.

In einer von Gowdiak vorgelegten Mail betont Oracle, es veröffentliche fertige Patches nicht einzeln, sondern kumuliert und für alle User. Richtlinien für den Umgang mit Cloud-Anfälligkeiten seien allerdings noch in Arbeit. Oracles nächstes Update mit kritischen Patches, das auch Patches für Java bringen soll, ist für 15. April geplant.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.