Die Log4J-Schwachstelle wird das Internet jahrelang heimsuchen
Die Log4J-Schwachstelle wird das Internet jahrelang heimsuchen
hände am laptop
Eine Schwachstelle in Die
Open-Source-Apache-Protokollierungsbibliothek Log4j schickte
Systemadministratoren und Sicherheitsexperten am Wochenende zum
Durcheinander. Der als Log4Shell bekannte Fehler setzt einige der
weltweit beliebtesten Anwendungen und Dienste Angriffen aus, und die
Aussichten haben sich seit dem Aufdecken der Schwachstelle am Donnerstag
nicht verbessert. Wenn überhaupt, ist es jetzt quälend klar, dass
Log4Shell in den kommenden Jahren weiterhin Chaos im Internet anrichten
wird.
Hacker haben den Bug seit
Anfang des Monats ausgenutzt, so Forscher von Cisco und Cloudflare. Aber
die Angriffe nahmen nach der Enthüllung von Apache am Donnerstag
dramatisch zu. Bisher haben Angreifer den Fehler ausgenutzt, um
Cryptominer auf anfälligen Systemen zu installieren,
Systemanmeldeinformationen zu stehlen, tiefer in kompromittierte
Netzwerke einzudringen und Daten zu stehlen, so ein aktueller Bericht
von Microsoft.
Das Spektrum der Auswirkungen
ist aufgrund der Art der Anfälligkeit selbst so breit. Entwickler
verwenden Protokollierungsframeworks, um zu verfolgen, was in einer
bestimmten Anwendung passiert. Um Log4Shell auszunutzen, muss ein
Angreifer nur das System dazu bringen, eine strategisch gestaltete
Codezeichenfolge zu protokollieren. Von dort aus können sie beliebigen
Code auf den Zielserver laden und Malware installieren oder andere
Angriffe starten. Insbesondere können Hacker das Snippet auf scheinbar
harmlose Weise einführen, z. B. indem sie die Zeichenfolge in einer
E-Mail senden oder als Kontobenutzernamen festlegen.
Wichtige Tech-Player,
darunter Amazon Web Services, Microsoft, Cisco, Google Cloudund IBM,
haben alle festgestellt, dass zumindest einige ihrer Dienste anfällig
waren und sich beeilt haben, Korrekturen vorzunehmen und Kunden zu
beraten, wie sie am besten vorgehen sollen. Das genaue Ausmaß der
Belichtung rückt aber noch in Sicht. Weniger anspruchsvolle
Organisationen oder kleinere Entwickler, denen es möglicherweise an
Ressourcen und Bewusstsein mangelt, werden der Log4Shell-Bedrohung
langsamer begegnen.
"Es ist fast sicher, dass die
Menschen jahrelang den langen Schwanz neuer anfälliger Software
entdecken werden, wenn sie an neue Orte denken, an denen sie
Exploit-Strings platzieren können", sagt der unabhängige
Sicherheitsforscher Chris Frohoff. "Dies wird sich wahrscheinlich noch
lange in Bewertungen und Penetrationstests von benutzerdefinierten
Unternehmensanwendungen zeigen."
Die Schwachstelle wird
bereits von einer "wachsenden Gruppe von Bedrohungsakteuren" genutzt,
sagte jen Easterly, Direktorin der US Cybersecurity and Infrastructure
Security Agency, am Samstag in einer Erklärung. Sie fügte hinzu, dass
der Fehler "einer der schwerwiegendsten ist, die ich in meiner gesamten
Karriere gesehen habe, wenn nicht sogar der schwerwiegendste" in einem
Telefonat mit Betreibern kritischer Infrastrukturen am Montag, wie
zuerst von CyberScoopberichtet. In demselben Anruf schätzte ein
CISA-Beamter, dass Hunderte von Millionen von Geräten wahrscheinlich
betroffen sind.
Der schwierige Teil wird
sein, all das aufzuspüren. Viele Organisationen haben keine klare
Abrechnung über jedes Programm, das sie verwenden, und die
Softwarekomponenten in jedem dieser Systeme. Das britische National
Cyber Security Centre betonte am Montag, dass Unternehmen "unbekannte
Instanzen von Log4j entdecken" müssen, zusätzlich zu den üblichen
Verdächtigen. Es liegt in der Natur der Sache, dass Open-Source-Software
überall dort integriert werden kann, wo Entwickler es wünschen, was
bedeutet, dass bei einer größeren Schwachstelle an jeder Ecke
exponierter Code lauern kann. Schon vor Log4Shell hatten Befürworter der
Sicherheit der Software-Lieferkette zunehmend auf "Software-Stücklisten"
oder SBOMs gedrängt, um es einfacher zu machen, Eine Bestandsaufnahme zu
machen und mit dem Sicherheitsschutz Schritt zu halten.
https://www.wired.com/story/log4j-log4shell/