Java Vulnerabilities Report: Java-Admins wurden 15 Jahre lang belogen

Hartmut Schlosser

93% der Unternehmen nutzen eine Java-Version, die älter ist als 5 Jahre – das haben die Sicherheitsexperten von Bit9 in ihrer jüngsten Studie herausgefunden. Dieses zögerliche Update-Verhalten bietet Hackern eine breite Flanke für Angriffe auf Java-Sicherheitslecks – und davon haben ältere Java-Versionen ja zu genüge, wie wir wissen.

Bit9 hat aus den zur Verfügung stehenden Daten eine Millionen Endpoints und mehrere Hundert Deployments untersucht und die Ergebnisse in einem Bericht zusammengefasst, der ein düsteres Bild der Sicherheitssituation von Java zeichnet. Zusammengefasst:

  • Java ist die am meisten attackierte Endpoint-Technologie.
  • Auf 42% der Systeme ist eine Java-Version installiert, die zu den Zeiten entwickelt wurde, als Windows 95 en vogue war.
  • Auf den meisten Endpoints ist mehr als eine Java-Version installiert.
  • Weniger als 1 Prozent der Unternehmen nutzen die aktuelle Java-Version.

Harry Sverdlove von Bit9 geht so weit zu sagen, dass IT Admins im Grunde 15 Jahre lang belogen worden seien. Um Sicherheit zu erlangen, sollten regelmäßig Java-Updates gefahren werden, lautete die Botschaft. Doch wurden dabei beim Update-Prozess meist die alten Versionen nicht gelöscht.

Das Problem: „Updating is not the same as Upgrading“. Hacker sind nun in der Lage, ihre Attacken gezielt auf diese alten Versionen auszurichten, um unerlaubten Zugriff auf Systeme zu erlangen.

Dem Bit9-Datensatz ist zu entnehmen, dass in einem Unternehmen durchschnittlich ganze 51 verschiedene Java-Versionen im Einsatz sind. Als am weitesten verbreitete Java-Version wird Java 6 Update 20 identifiziert – eine Version, in der 96 bekannte Sicherheitslöcher der Stufe 10 anzutreffen sind.

Und so wird Java quasi Opfer seines eigenen Erfolges. Sverdlove nennt drei Faktoren, die im Sinne eines „Perfect Storm“ zusammenspielen, damit Java zur Nr. 1 der Angriffsziele werden konnte:

  • Java ist auf quasi allen Systemen anzutreffen.
  • Die meisten dort zu findenden Versionen sind alt.
  • Cyberattacken können sich gezielt auf diese alten Versionen richten.

Wie können Unternehmen nun auf diese fatale Situation reagieren? „Assess, decide, enforce“ lautet der empfohlene Dreisatz:

  • Finde heraus, wie viele Java-Versionen tatsächlich im Unternehmen sind.
  • Treffe die Entscheidung, welche Java-Versionen wo nötig sind. Muss Java beispielsweise in Browsern laufen?
  • Nutze Sicherheitstechnologien, um diese Entscheidungen durchzusetzen.

Der Bericht “Java Vulnerabilities: Write Once, Pwn Anywhere“ kann auf der Bit9-Webseite heruntergeladen werden. Auch wenn er im Sinne des Unternehmensziels geschrieben ist, Gründe für den Erwerb von Sicherheitstechnologien zu liefern, sind die Ergebnisse ernst zu nehmen. Oracles Bemühungen, die Sicherheit in aktuellen Java-SE-Releases zu erhöhen und Updates schnell und unkonventionell bereit zu stellen, greifen nur, wenn die Anwenderseite mitspielt und selbst für eine sichere Update-Strategie sorgt. Das Bewusstsein zu schärfen, dass hier vor allem die alten Java-Versionen problematisch sind, schadet nicht: Schauen Sie sich also ruhig das unten stehende Video einmal an.

Und übrigens: Die Sicherheits-Polizisten von Security Exploration berichten wieder von einem neuen Zero-Day-Exploit, dieses Mal im Zusammenhang mit dem Reflection API:

A new vulnerability (Issue 69) that was submitted to Oracle today makes it possible to implement a very classic attack against Java VM. What’s in particular interesting is that the attack itself has been in the public knowledge for at least 10+ years [1]. It’s one of those risks one should protect against in the first place when new features are added to Java at the core VM level. The more surprising it is to discover that Reflection API introduced to Java SE 7 didn’t implement proper protection against this attack.

Our Proof of Concept code for Issue 69 was confirmed to work with flying colors under Java SE 7 Update 25 (1.7.0_25-b16) and below. The code allows to violate a fundamental feature of Java VM security – the safety of its type system. As a result, a complete and reliable Java security sandbox bypass can be gained on a vulnerable instance of Oracle’s Java SE software.

Der Java zero-day counter wurde am Donnerstag auf Null gesetzt. Oracle ist nun also gefragt, schnell ein Patch zu liefern. Doch gleichzeitig muss auch die Community reagieren, um, erstens, den Patch dann auch schnell einzuspielen und zweitens, wie oben beschrieben, endlich die alten Java-Versionen loszuwerden.

Geschrieben von
Hartmut Schlosser
Hartmut Schlosser
Hartmut Schlosser ist Redakteur und Online-Koordinator bei Software & Support Media. Seine Spezialgebiete liegen bei Java-Enterprise-Technologien, JavaFX, Eclipse und DevOps. Vor seiner Tätigkeit bei S & S Media studierte er Musik, Informatik, französische Philologie und Ethnologie.
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.