Aufgrund einer schwerwiegenden Schwachstelle bei der Codeausführung in Log4j warnen Sicherheitsexperten vor potenziell katastrophalen Folgen für Unternehmensorganisationen und Webanwendungen.
Die Schwachstelle, die im Apache Log4j Security Vulnerabilities Log als CVE-2021-44228 aufgeführt ist, ermöglicht es Remote-Angreifern, die Kontrolle über ein betroffenes System zu übernehmen.
Was ist Log4j?
Log4j ist ein Open-Source-Apache-Logging-System-Framework, das von Entwicklern zur Aufzeichnung von Aufzeichnungen innerhalb einer Anwendung verwendet wird.
Dieser Exploit in der beliebten Java-Logging-Bibliothek führt zu Remote Code Execution (RCE). Der Angreifer sendet einen bösartigen Code-String, der es dem Angreifer, wenn er von Log4j protokolliert wird, ermöglicht, Java auf den Server zu laden und die Kontrolle zu übernehmen.
Verdrahtet berichtet, dass Angreifer am Freitagnachmittag die Chat-Funktion von Minecraft nutzten, um die Schwachstelle auszunutzen.
Wer ist von dem Log4j-Sicherheitsproblem betroffen?
Das Problem ist so schwerwiegend, dass die US-amerikanische Cybersecurity & Infrastructure Security Agency am 10. Dezember eine Mitteilung veröffentlicht hat, in der es zum Teil heißt:
„CISA ermutigt Benutzer und Administratoren, die Ankündigung von Apache Log4j 2.15.0 zu lesen und auf Log4j 2.15.0 zu aktualisieren oder die empfohlenen Maßnahmen sofort anzuwenden.“
Anzeige
Weiter unten lesen
Das oben referenzierte Protokoll stuft den Schweregrad des Problems als “kritisch” ein und beschreibt es als:
„Apache Log4j2 <=2.14.1 JNDI-Funktionen, die in Konfiguration, Protokollnachrichten und Parametern verwendet werden, schützen nicht vor angreifergesteuertem LDAP und anderen JNDI-bezogenen Endpunkten.
Ein Angreifer, der Protokollnachrichten oder Protokollnachrichtenparameter kontrollieren kann, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Ersetzung der Nachrichtensuche aktiviert ist.“
Marcus Hutchins aus MalwareTech.com warnt, dass iCloud, Steam und Minecraft alle als anfällig bestätigt wurden:
Diese Schwachstelle in log4j (CVE-2021-44228) ist extrem schlimm. Millionen von Anwendungen verwenden Log4j für die Protokollierung, und der Angreifer muss lediglich die App dazu bringen, einen speziellen String zu protokollieren. Bisher wurden iCloud, Steam und Minecraft alle als anfällig bestätigt.
— Marcus Hutchins (@MalwareTechBlog) 10. Dezember 2021
Free Wortley, CEO von LunaSec, schrieb in einem ‘RCE Zero-Day’-Blog-Post vom 9. Dezember: “Jeder, der Apache Struts verwendet, ist wahrscheinlich angreifbar.”
Er sagte auch: „Angesichts der Allgegenwart dieser Bibliothek, der Auswirkungen des Exploits (vollständige Serverkontrolle) und der einfachen Ausnutzung sind die Auswirkungen dieser Sicherheitsanfälligkeit ziemlich schwerwiegend.“
Anzeige
Weiter unten lesen
CERT, das österreichische Computer-Notfall-Reaktionsteam, veröffentlichte am Freitag eine Warnung, in der es heißt, zu den Betroffenen gehören:
„Alle Apache log4j-Versionen von 2.0 bis einschließlich 2.14.1 und alle Frameworks (zB Apache Struts2, Apache Solr, Apache Druid, Apache Flink, etc.), die diese Versionen verwenden.
Laut der Sicherheitsfirma LunaSec sind die JDK-Versionen 6u211, 7u201, 8u191 und 11.0.1 in der Standardkonfiguration nicht betroffen, da diese das Laden einer Remote-Codebase nicht zulässt.
Wenn jedoch die Option
com.sun.jndi.ldap.object.trustURLCodebaseisttrueeingestellt ist, ist ein Angriff noch möglich.“
Rob Joyce, Direktor für Cybersicherheit bei der NSA, Freitag getwittert dass „die log4j-Sicherheitslücke aufgrund der weit verbreiteten Einbeziehung in Software-Frameworks, sogar GHIDRA der NSA, eine erhebliche Bedrohung für die Ausnutzung darstellt.“
Empfehlungen von Sicherheitsexperten zur Bekämpfung von Log4j-Sicherheitslücken
Kevin Beaumont warnt, dass selbst wenn Sie auf log4j-2.15.0-rc1 aktualisiert haben, es eine Umgehung gibt:
Wenn Sie den Code bereits aktualisiert haben, um das gerade veröffentlichte log4j-2.15.0-rc1 zu verwenden, ist es immer noch anfällig – Sie müssen jetzt log4j-2.15.0-rc2 anwenden, da es eine Umgehung gab. Sie sind keine stabile Version, die noch behebt.
– Kevin Beaumont (@GossiTheDog) 10. Dezember 2021
Marcus Hutchins aus MalwareTech.com bietet einen Workaround für diejenigen, die Log4j nicht aktualisieren können:
Wenn Sie log4j nicht aktualisieren können, können Sie die RCE-Schwachstelle abschwächen, indem Sie log4j2.formatMsgNoLookups auf True setzen (-Dlog4j2.formatMsgNoLookups=true in der JVM-Befehlszeile).
— Marcus Hutchins (@MalwareTechBlog) 10. Dezember 2021
Matthew Prince, Mitbegründer und CEO von Cloudflare, Freitag angekündigt:
“Wir haben uns entschieden, dass #Log4J ist so schlimm, dass wir versuchen werden, zumindest einen gewissen Schutz für alle bereitzustellen Wolkenflare Kunden standardmäßig, auch kostenlose Kunden, die unsere WAF nicht haben. Arbeite jetzt daran, wie man das sicher macht.“
Chris Wysopal, Mitbegründer und CTO bei Veracode, empfiehlt ein Upgrade auf mindestens Java 8:
Die gepatchte Version von log4j 2.15.0 erfordert mindestens Java 8. Wenn Sie Java 7 verwenden, müssen Sie auf Java8 aktualisieren
Wenn eine aktive Ausnutzung vorliegt und Sie schnell patchen müssen, ist es von Vorteil, wenn Sie Ihre anderen Abhängigkeiten im Laufe der Zeit aktualisiert haben.
– Chris Wysopal (@WeldPond) 10. Dezember 2021
Anzeige
Weiter unten lesen
Er warnt auch, „Es mag noch immer nur 5 % der Apps auf Java 7 geben, aber das ist der lange Schwanz, der in den nächsten Monaten ausgenutzt werden wird. Haben Sie so etwas nicht in Ihrer Organisation.“
Herauszufinden, welche Anwendungen in Ihrem Unternehmen Log4j verwenden, sollte geschäftskritisch sein.
Ausgewähltes Bild: Shutterstock/solarseven