Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch Spionagetools Tools Industrie
MS Exchange Solar Winds RamsonFlicken
Schwach-stellen

Programme
Einfallstor für Schadsoftware : NSA entdeckt Sicherheitslücke bei Windows

Windows 10 hat einen Sicherheitsfehler So schwer die NSA offenbartes
Schwere Citrix-Lücke wird zu immer größerer Gefahr für Unternehmen
Microsoft plaudert versehentlich gefährliche Windows-Lücke aus

Microsoft bringt Update für kritische SMBv3-Sicherheitslücke


Eine Windows Defender-Sicherheits-anfälligkeit wurde 12 Jahre lang
unentdeckt


Vorbemerkungen zur Schwachstelle
Extrem kritische Sicherheitslücke bedroht Internetserver weltweit
Vermehrt Cyberangriffe: IT-Experten warnen vor Sicherheitslücke in Server-Software

BSI: Warnstufe Rot
Sicherheits-Super-GAU: Was ist Log4Shell, und wie geht es weiter?

Experten fürchten verheerende Angriffswelle wegen Sicherheitslücke in Logging-Software Log4j
Die Log4J-Schwachstelle wird das Internet jahrelang heimsuchen
Die nächste Welle von Log4J-Angriffen wird brutal
Schnallen Sie sich für mehr Log4j-Wahnsinn an



Ein Jahr später lauert diese brutale Log4j-Schwachstelle immer noch



 
W I R E D

Die Log4J-Schwachstelle wird das Internet jahrelang heimsuchen



Die Log4J-Schwachstelle wird das Internet jahrelang heimsuchen

hände am laptop
Eine Schwachstelle in Die Open-Source-Apache-Protokollierungsbibliothek Log4j schickte Systemadministratoren und Sicherheitsexperten am Wochenende zum Durcheinander. Der als Log4Shell bekannte Fehler setzt einige der weltweit beliebtesten Anwendungen und Dienste Angriffen aus, und die Aussichten haben sich seit dem Aufdecken der Schwachstelle am Donnerstag nicht verbessert. Wenn überhaupt, ist es jetzt quälend klar, dass Log4Shell in den kommenden Jahren weiterhin Chaos im Internet anrichten wird.

Hacker haben den Bug seit Anfang des Monats ausgenutzt, so Forscher von Cisco und Cloudflare. Aber die Angriffe nahmen nach der Enthüllung von Apache am Donnerstag dramatisch zu. Bisher haben Angreifer den Fehler ausgenutzt, um Cryptominer auf anfälligen Systemen zu installieren, Systemanmeldeinformationen zu stehlen, tiefer in kompromittierte Netzwerke einzudringen und Daten zu stehlen, so ein aktueller Bericht von Microsoft.

Das Spektrum der Auswirkungen ist aufgrund der Art der Anfälligkeit selbst so breit. Entwickler verwenden Protokollierungsframeworks, um zu verfolgen, was in einer bestimmten Anwendung passiert. Um Log4Shell auszunutzen, muss ein Angreifer nur das System dazu bringen, eine strategisch gestaltete Codezeichenfolge zu protokollieren. Von dort aus können sie beliebigen Code auf den Zielserver laden und Malware installieren oder andere Angriffe starten. Insbesondere können Hacker das Snippet auf scheinbar harmlose Weise einführen, z. B. indem sie die Zeichenfolge in einer E-Mail senden oder als Kontobenutzernamen festlegen.

Wichtige Tech-Player, darunter Amazon Web Services, Microsoft, Cisco, Google Cloudund IBM, haben alle festgestellt, dass zumindest einige ihrer Dienste anfällig waren und sich beeilt haben, Korrekturen vorzunehmen und Kunden zu beraten, wie sie am besten vorgehen sollen. Das genaue Ausmaß der Belichtung rückt aber noch in Sicht. Weniger anspruchsvolle Organisationen oder kleinere Entwickler, denen es möglicherweise an Ressourcen und Bewusstsein mangelt, werden der Log4Shell-Bedrohung langsamer begegnen.

"Es ist fast sicher, dass die Menschen jahrelang den langen Schwanz neuer anfälliger Software entdecken werden, wenn sie an neue Orte denken, an denen sie Exploit-Strings platzieren können", sagt der unabhängige Sicherheitsforscher Chris Frohoff. "Dies wird sich wahrscheinlich noch lange in Bewertungen und Penetrationstests von benutzerdefinierten Unternehmensanwendungen zeigen."

Die Schwachstelle wird bereits von einer "wachsenden Gruppe von Bedrohungsakteuren" genutzt, sagte jen Easterly, Direktorin der US Cybersecurity and Infrastructure Security Agency, am Samstag in einer Erklärung. Sie fügte hinzu, dass der Fehler "einer der schwerwiegendsten ist, die ich in meiner gesamten Karriere gesehen habe, wenn nicht sogar der schwerwiegendste" in einem Telefonat mit Betreibern kritischer Infrastrukturen am Montag, wie zuerst von CyberScoopberichtet. In demselben Anruf schätzte ein CISA-Beamter, dass Hunderte von Millionen von Geräten wahrscheinlich betroffen sind.

Der schwierige Teil wird sein, all das aufzuspüren. Viele Organisationen haben keine klare Abrechnung über jedes Programm, das sie verwenden, und die Softwarekomponenten in jedem dieser Systeme. Das britische National Cyber Security Centre betonte am Montag, dass Unternehmen "unbekannte Instanzen von Log4j entdecken" müssen, zusätzlich zu den üblichen Verdächtigen. Es liegt in der Natur der Sache, dass Open-Source-Software überall dort integriert werden kann, wo Entwickler es wünschen, was bedeutet, dass bei einer größeren Schwachstelle an jeder Ecke exponierter Code lauern kann. Schon vor Log4Shell hatten Befürworter der Sicherheit der Software-Lieferkette zunehmend auf "Software-Stücklisten" oder SBOMs gedrängt, um es einfacher zu machen, Eine Bestandsaufnahme zu machen und mit dem Sicherheitsschutz Schritt zu halten.

https://www.wired.com/story/log4j-log4shell/