Log4j-Sicherheitslücken häufen sich, während Unternehmen versuchen, Patches zu finden
Die gigantische Krise, die durch log4j ausgelöst wurde, ist noch nicht vorbei – nicht einmal annähernd. In der vergangenen Woche wurden neue Schwachstellen in der unglücklichen Apache-Logging-Bibliothek entdeckt (deren allgegenwärtige Schwachstelle in der Infosec-Welt als „Log4Shell“ bezeichnet wird), aber Experten zufolge besteht kein Grund zur Panik. Hier ist ein kurzer Blick auf die neuesten Entwicklungen und wie Sicherheitsexperten darauf reagieren.
Das Patchen von Software ist nicht immer ein sehr unkomplizierter Prozess, und nirgendwo war dies deutlicher als im log4j-Fiasko. In der vergangenen Woche hat Apache mehrere Patches veröffentlicht , aber mit jedem weiteren Patch sind weitere Probleme aufgetaucht.
Am Freitag veröffentlichte Apache seinen dritten Patch, Version 2.17.0 , der eine neu entdeckte Schwachstelle beheben soll, die Denial-of-Service-Angriffe ermöglicht hätte (diese neue Schwachstelle wird offiziell als CVE-2021-45105 verfolgt ).
Der vorherige Patch, 2.16.0 , wurde veröffentlicht, nachdem 2.15.0 – der ursprüngliche Patch – einen Remote-Angriffs-Exploit nicht abschwächen konnte, der in einigen Fällen den Diebstahl von Daten hätte ermöglichen können. Mit anderen Worten, der Patch, der die ursprüngliche Schwachstelle beheben sollte, hatte seine eigene Schwachstelle, und der Patch zur Behebung dieses Patches hatte ebenfalls Probleme. Gutes Zeug.
Alles in allem sind diese neueren Sicherheitslücken nicht so schwerwiegend wie das Original und sollten laut einigen Experten nicht zu viel Schlaf verlieren.
Es ist die ursprüngliche Schwachstelle, CVE-2021-44228 , die – wenn sie nicht gepatcht wird – immer noch der Stoff für Cybersicherheits-Albträume ist.
Eine weitere farbenfrohe Episode in dieser Saga war eine kürzliche Debatte unter Sicherheitsexperten darüber, ob log4j einen Wurm geboren hat oder nicht.
Am Sonntag behauptete ein Sicherheitsforscher, Germán Fernández, er habe einen Wurm – ein bösartiges, sich selbst verbreitendes Programm – entdeckt, der Geräte befalle, die die log4j-Schwachstelle nicht gepatcht hätten. VX Underground, ein großes Online-Repository für Malware-Samples und verwandte akademische Kreise, teilten die Ergebnisse des Forschers mit: „Der Sicherheitsforscher @1ZRR4H hat den ersten Log4J-Wurm identifiziert. Es ist ein sich selbst verbreitender Mirai-Bot. Wir haben die Stichprobe aggregiert“, twitterte das Konto von VX . Greg Linares, ein weiterer Sicherheitsforscher, sagte, es sehe so aus, als würde das Schadprogramm hauptsächlich ungepatchte Huawei-Router angreifen.
Andere Experten haben einige dieser Behauptungen jedoch schnell mit kaltem Wasser beworfen und darauf hingewiesen , dass das Programm nicht allzu funktional zu sein scheint und möglicherweise nicht einmal technisch als Wurm qualifiziert wird. „Ich habe diesen angeblichen log4j-Wurm rekonstruiert und er funktioniert überhaupt nicht“, twitterte Marcus Hutchins, ein bekannter Cybersicherheitsforscher. „Es gibt auch mehrere Fehler im Code, die bedeuten, dass selbst wenn sie den Kernfehler behoben hätten, er immer noch völlig wirkungslos wäre.“
Sicherheitsexperten haben in ähnlicher Weise darüber diskutiert , wie schwerwiegend ein Wurm im Zusammenhang mit log4j sein könnte. Tom Kellermann, Leiter der Cybersicherheitsstrategie von VMware, sagte kürzlich gegenüber ZDnet, dass ein Wurm möglicherweise von einer feindlichen ausländischen Macht oder einem Geheimdienst „zur Waffe“ gemacht werden könnte – was am Ende ziemlich schlimm sein könnte.
Unterdessen enthüllt eine Explosion von Exploitationsversuchen, die auf log4j abzielen, weiterhin neue Angriffsstrategien.
Am Montag gab das belgische Verteidigungsministerium bekannt, dass es gezwungen war, Teile seines Netzwerks abzuschalten, nachdem eine Hackergruppe log4j ausgenutzt hatte, um Zugang zu seinen Systemen zu erhalten. Obwohl nicht viel mehr über den Vorfall enthüllt wurde, ist es eines der bisher sichtbarsten Beispiele dafür, dass der Apache-Bug dazu verwendet wird, realen Schaden zu verursachen. Es wird definitiv nicht das letzte gewesen sein.
Tatsächlich zeigen jüngste Berichte, dass sich finanziell motivierte kriminelle Gruppen dem Kampf anschließen – einschließlich Banking-Trojaner. Darüber hinaus wurden auch Ransomware-Banden, nationalstaatliche Cyberspionageaktivitäten und Krypto-Mining entdeckt. Initial Access Brokers – Cyberkriminelle, die Geräte und Computernetzwerke hacken, mit der Absicht, diesen Zugang an andere Kriminelle (meistens Ransomware-Hacker) zu verkaufen – haben log4j-anfällige Systeme geplündert. Das Sicherheitsteam von Microsoft veröffentlichte letzte Woche Untersuchungen, die zeigten, dass „mehrere nachverfolgte Aktivitätsgruppen, die als Zugangsvermittler fungieren, damit begonnen haben, die Schwachstelle zu nutzen, um anfänglichen Zugriff auf Zielnetzwerke zu erhalten“.
Kurz gesagt: Der Spaß geht weiter! Wir werden weiterhin die breiteren Verschiebungen dieser ganzen Krise verfolgen, während sie sich entfaltet.
