PayPal ist das neueste Opfer von Java-Deserialisierungsfehlern in Web-Apps

PayPal hat eine schwerwiegende Schwachstelle in seinem Backend-Managementsystem behoben, die es Angreifern erlaubt hätte, beliebige Befehle auf dem Server auszuführen und möglicherweise eine Backdoor.

Die Sicherheitslücke ist Teil einer Klasse von Fehlern, die von der Deserialisierung von Java-Objekten herrühren und vor etwa einem Jahr von Sicherheitsforschern gewarnt wurden.

Serialisierung ist in Programmiersprachen der Prozess der Konvertierung von Daten in ein Binärformat Speichern oder zum Senden über das Netzwerk. Die Deserialisierung ist das Gegenteil dieses Prozesses.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows PC]

Die Deserialisierung ist kein Problem, aber wie bei den meisten Prozessen, bei denen potenziell nicht vertrauenswürdige Eingaben verarbeitet werden, müssen Maßnahmen erforderlich sein um sicherzustellen, dass es sicher durchgeführt wird. Zum Beispiel könnte ein Angreifer ein serialisiertes Objekt erstellen, das eine Java-Klasse enthält, die die Anwendung akzeptiert und die für etwas Schädliches missbraucht werden könnte.

Die Sicherheitsforscher Chris Frohoff und Gabriel Lawrence haben auf einer Sicherheitskonferenz einen Vortrag über diese Art von Angriff gehalten vor einem Jahr. Im November veröffentlichten Forscher einer Firma namens FoxGlove Security einen Proof-of-Concept-Exploit für eine Deserialisierungs-Schwachstelle in einer populären Bibliothek namens Apache Commons Collections, die standardmäßig auf vielen Java-Anwendungsservern enthalten ist.

warnten die Sicherheitsforscher damals dass Tausende von Java-basierten Web-Anwendungen, einschließlich benutzerdefinierter Enterprise-Anwendungen, wahrscheinlich anfällig für diese Attacke sind und sagten, dass sowohl gute als auch schlechte Hacker wahrscheinlich danach suchen werden.

Michael Stepankin, der Bug-Bounty-Hunter Die jüngste Schwachstelle in der Website manager.paypal.com ist ein solcher Hacker. Er war inspiriert von den Forschungen von Frohoff, Lawrence und den FoxGlove-Forschern und nutzte sogar eines der Tools, die sie zum Aufbau seiner Angriffsnutzlast verwendeten.

Nachdem Stepanquin festgestellt hatte, dass die PayPal-Site anfällig für Java-Deserialisierung war, konnte Stepankin die Fehler, um beliebige Kommandos auf dem darunterliegenden Web-Server auszuführen.

"Außerdem konnte ich eine Back-Verbindung zu meinem eigenen Internet-Server aufbauen und beispielsweise eine Backdoor hochladen und ausführen", sagte er in einem Blogpost. "Im Ergebnis konnte ich Zugriff auf Produktionsdatenbanken erhalten, die von der manager.paypal.com-Anwendung verwendet wurden."

Nachdem er das Problem an PayPal gemeldet hatte und behoben wurde, gewährte ihm das Unternehmen sogar eine Belohnung durch sein Bug Bounty-Programm obwohl sein Bericht als Duplikat gekennzeichnet war. Es stellt sich heraus, dass ein anderer Sicherheitsforscher ein paar Tage zuvor das gleiche Problem gemeldet hat, was beweist, dass derzeit nach dieser Art von Sicherheitslücke gesucht wird.

Entwickler sollten sicherstellen, dass sie die von ihren Java-Servern und -Apps verwendete Bibliothek der Apache Commons Collections aktualisieren zumindest zu den Versionen 3.2.2 oder 4.1, die dieses Problem beheben. Es ist jedoch wahrscheinlich, dass diese Art der Sicherheitsanfälligkeit auch in anderen Bibliotheken vorhanden ist, die darauf warten, entdeckt zu werden.