Eine gefährliche Sicherheitslücke, die in der Log4j-Java-Protokollierungsbibliothek entdeckt wurde, hat große Teile des Internets böswilligen Akteuren zugänglich gemacht.
Zero-Day Exploits sind so schlimm wie es nur sein kann, insbesondere wenn sie in so allgegenwärtiger Software wie der Log4j-Protokollierungsbibliothek von Apache identifiziert werden. Ein Proof-of-Concept-Exploit wurde online geteilt, der jeden potenziellen RCE-Angriffen (Remote Code Execution) aussetzt und einige der größten Dienste im Internet betraf. Es wurde festgestellt, dass der Exploit „aktiv ausgenutzt“ wird und einer der gefährlichsten Exploits ist, der in den letzten Jahren öffentlich gemacht wurde.
Log4j ist ein beliebtes Java-basiertes Protokollierungspaket, das von der Apache Software Foundation entwickelt wurde CVE-2021-44228 betrifft alle Versionen von Log4j zwischen Version 2.0-beta-9 und Version 2.14.1. Es wurde in der neuesten Version der Bibliothek gepatcht, Version 2.15.0, vor ein paar Tagen veröffentlicht. Viele Dienste und Anwendungen basieren auf Log4j, darunter auch Spiele wie Minecraft, bei denen die Schwachstelle erstmals entdeckt wurde. Cloud-Dienste wie Steam und Apple iCloud erwiesen sich ebenfalls als anfällig, und es ist wahrscheinlich, dass dies auch bei jedem der Fall ist, der Apache Struts verwendet. Selbst die Änderung des Namens eines iPhones löste nachweislich die Sicherheitslücke auf den Servern von Apple aus.
Diese Sicherheitslücke war entdeckt von Chen Zhaojun vom Alibaba Cloud Security Team. Jeder Dienst, der benutzergesteuerte Zeichenfolgen protokolliert, war für den Exploit anfällig. Die Protokollierung benutzergesteuerter Zeichenfolgen ist eine gängige Praxis von Systemadministratoren, um potenziellen Plattformmissbrauch zu erkennen Zeichenfolgen sollten dann „bereinigt“ werden – der Prozess der Bereinigung von Benutzereingaben, um sicherzustellen, dass nichts schädlich für die Software ist eingereicht.
Log4Shell konkurriert in seiner Schwere mit Heartbleed
Der Exploit wurde „Log4Shell“ genannt, da es sich um eine nicht authentifizierte RCE-Schwachstelle handelt, die eine vollständige Systemübernahme ermöglicht. Es gibt bereits eine Proof-of-Concept-Exploit online, und es ist lächerlich einfach, mithilfe von DNS-Protokollierungssoftware zu zeigen, dass es funktioniert. Wenn Sie sich erinnern Herzblut Obwohl Log4Shell eine Schwachstelle von vor einigen Jahren entdeckt hat, ist sie in puncto Schwere auf jeden Fall um einiges besser.
„Ähnlich wie bei anderen bekannten Schwachstellen wie Heartbleed und Shellshock glauben wir auch hier.“ „In den kommenden Wochen werden immer mehr anfällige Produkte entdeckt“, so der Randori-Angriff Team sagte in ihrem Blog Heute. „Aufgrund der einfachen Ausnutzbarkeit und der Breite der Anwendbarkeit vermuten wir, dass Ransomware-Akteure diese Schwachstelle sofort ausnutzen“, fügten sie hinzu. Böswillige Akteure durchsuchen bereits massenhaft das Internet, um Server zu finden, die sie ausnutzen können (via Piepender Computer).
„Viele, viele Dienste sind anfällig für diesen Exploit. „Cloud-Dienste wie Steam, Apple iCloud und Apps wie Minecraft haben sich bereits als anfällig erwiesen“, so LunaSec schrieb. „Jeder, der Apache Struts verwendet, ist wahrscheinlich anfällig. Wir haben ähnliche Schwachstellen bereits zuvor bei Verstößen wie dem Equifax-Datenverstoß im Jahr 2017 gesehen.“ LunaSec sagte auch, dass Java-Versionen Größere Versionen als 6u211, 7u201, 8u191 und 11.0.1 sind theoretisch weniger betroffen, obwohl Hacker möglicherweise immer noch in der Lage sind, dies zu umgehen Einschränkungen.
Die Sicherheitslücke kann durch etwas so Alltägliches wie den Namen eines iPhones ausgelöst werden, was zeigt, dass Log4j wirklich überall ist. Wenn am Ende der URL eine Java-Klasse angehängt wird, wird diese Klasse in den Serverprozess eingefügt. Systemadministratoren mit neueren Versionen von Log4j können ihre JVM mit dem folgenden Argument ausführen, um ebenfalls zu verhindern, dass die Sicherheitslücke ausgenutzt wird, solange Sie verwenden mindestens Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=true
CERT NZ (Neuseelands nationales Computer-Notfallteam) hat eine Sicherheitswarnung herausgegeben aktive Ausbeutung in freier Wildbahn, und dies wurde auch von bestätigt Technischer Direktor der Koalition – Sicherheit Tiago Henriques Und Sicherheitsexperte Kevin Beaumont. Auch Cloudflare stuft die Schwachstelle als so gefährlich ein, dass allen Kunden standardmäßig „ein gewisser“ Schutz gewährt wird.
Dies ist ein unglaublich gefährlicher Exploit, der online verheerende Folgen haben kann. Wir werden genau beobachten, was als nächstes passiert.