Ein Jahr später lauert diese brutale Log4j-Schwachstelle immer noch
Eine Treppe, die zu einer offenen Tür führt,
die ein helles rotes Licht ausstrahlt, befindet sich in einer dunklen,
leeren Leere.
Vor einem Jahr, Als Russland Truppen an seiner Grenze zur Ukraine
zusammenzog und die Covid-19-Omicron-Variante auf der ganzen Welt zu
steigen begann, enthüllte die Apache Software Foundation eine
Schwachstelle, die einen Rausch in der globalen Technologiebranche
auslöste. Der Fehler, bekannt als Log4Shell, befand sich in der
allgegenwärtigen Open-Source-Protokollierungsbibliothek Log4j und machte
eine breite Palette von Anwendungen und Diensten verfügbar – von
beliebten Verbraucher- und Unternehmensplattformen bis hin zu kritischen
Infrastrukturen und Internet-of-Things-Geräten. Jetzt, nach Wochen
intensiver Behebung im vergangenen Dezember und einem Jahr kumulativer
Fortschritte beim Patchen, stellt Log4Shell nicht mehr die universelle
Bedrohung dar, die es einmal war. Forscher warnen jedoch, dass die
Sicherheitslücke immer noch in viel zu vielen Systemen weltweit
vorhanden ist und dass Angreifer sie jahrelang erfolgreich ausnutzen
werden.
Viele kritische Schwachstellen werden jedes Jahr entdeckt, die von hoher
Dringlichkeit zu beheben sind, aber Log4Shell war ungewöhnlich, weil es
so einfach war, es auszunutzen, wo immer es vorhanden war, mit wenigen
Vorbehalten oder Feinheiten für Angreifer. Entwickler verwenden
Protokollierungsdienstprogramme, um Vorgänge in einer bestimmten
Anwendung aufzuzeichnen. Alles, was Angreifer tun müssen, um Log4Shell
auszunutzen, ist, das System dazu zu bringen, eine spezielle
Code-Zeichenfolge zu protokollieren. Von dort aus können sie die
Kontrolle über ihr Ziel übernehmen, um Malware zu installieren oder
andere digitale Angriffe zu starten. Logger protokollieren, so dass das
Einführen des bösartigen Snippets so einfach sein kann, wie es in einen
Kontobenutzernamen aufzunehmen oder es in einer E-Mail zu senden.
"Die Protokollierung ist im Wesentlichen für jeden Computersoftware-
oder Hardwarebetrieb von grundlegender Bedeutung. Egal, ob es sich um
eine Phlebotomiemaschine oder einen Anwendungsserver handelt, die
Protokollierung wird vorhanden sein", sagt David Nalley, Präsident der
gemeinnützigen Apache Software Foundation. "Wir wussten, dass Log4j weit
verbreitet war, wir sahen die Download-Zahlen, aber es ist schwer zu
verstehen, da man in Open Source kein Produkt verkauft und Verträge
verfolgt. Ich glaube nicht, dass Sie es vollständig zu schätzen wissen,
bis Sie eine vollständige Abrechnung darüber haben, wo sich Software
befindet, was sie tut und wer sie verwendet. Und ich denke, die
Tatsache, dass es so unglaublich allgegenwärtig war, war ein Faktor
dafür, dass alle so sofort reagierten. Es ist ein wenig demütigend,
ehrlich gesagt."
Die Situation schwingt mit größeren Diskussionen über die
Software-Lieferkette und der Tatsache mit, dass viele Unternehmen keine
angemessene Abrechnung der gesamten Software haben, die sie in ihren
Systemen verwenden, was es schwieriger macht, anfälligen Code zu
identifizieren und zu patchen. Ein Teil der Herausforderung besteht
jedoch darin, dass selbst wenn ein Unternehmen eine Liste aller Software
hat, die es gekauft oder bereitgestellt hat, diese Programme immer noch
andere Softwarekomponenten enthalten können - insbesondere
Open-Source-Bibliotheken und Dienstprogramme wie Log4j -, die dem
Endkunden nicht genau bekannt sind und die er nicht absichtlich
ausgewählt hat. Dies erzeugt den Welleneffekt einer Schwachstelle wie
Log4Shell sowie den Long Tail des Patchings, bei dem Unternehmen
entweder nicht wissen, dass sie gefährdet sind, oder die Dringlichkeit
von Investitionen in Upgrades nicht erkennen.
In der Zwischenzeit nutzen Angreifer Log4Shell immer noch aktiv aus, wo
immer sie können, von kriminellen Hackern, die nach einem Weg in die
Systeme der Ziele suchen, bis hin zu chinesischen und iranischen
staatlich unterstützten Angreifern, die den Exploit in ihren
Spionagekampagnen einsetzen.
"Log4Shell ist eine, die sich in den nächsten zehn Jahren als Teil der
Ursache in Datenschutzverletzungen zeigen wird - alles, was es braucht,
ist eine Instanz von Log4Shell, um anfällig zu sein", sagt Dan Lorenc,
CEO des Software-Supply-Chain-Sicherheitsunternehmens Chainguard.
"Glücklicherweise haben die meisten Verbraucher im vergangenen Jahr
keine Auswirkungen gespürt, weil die Schwere so hoch war, dass die Leute
an diesem schrecklichen Wochenende und während der Feiertage in einem
Rennen mit Angreifern herumgekrochen sind. Aber das hat wirtschaftliche
Auswirkungen, massive Anstrengungen, um diese Sanierung durchzuführen.
Und wir werden nicht in der Lage sein, jeden für etwas zu verwirren, das
auch nur ein bisschen weniger schwerwiegend ist. "
https://www.wired.com/story/log4j-log4shell-one-year-later/
Ein Jahr später lauert diese brutale Log4j-Schwachstelle immer noch
Eine Treppe, die zu einer offenen Tür führt, die ein helles rotes Licht
ausstrahlt, befindet sich in einer dunklen, leeren Leere.
Vor einem Jahr, Als Russland Truppen an seiner Grenze zur Ukraine
zusammenzog und die Covid-19-Omicron-Variante auf der ganzen Welt zu
steigen begann, enthüllte die Apache Software Foundation eine
Schwachstelle, die einen Rausch in der globalen Technologiebranche
auslöste. Der Fehler, bekannt als Log4Shell, befand sich in der
allgegenwärtigen Open-Source-Protokollierungsbibliothek Log4j und machte
eine breite Palette von Anwendungen und Diensten verfügbar – von
beliebten Verbraucher- und Unternehmensplattformen bis hin zu kritischen
Infrastrukturen und Internet-of-Things-Geräten. Jetzt, nach Wochen
intensiver Behebung im vergangenen Dezember und einem Jahr kumulativer
Fortschritte beim Patchen, stellt Log4Shell nicht mehr die universelle
Bedrohung dar, die es einmal war. Forscher warnen jedoch, dass die
Sicherheitslücke immer noch in viel zu vielen Systemen weltweit
vorhanden ist und dass Angreifer sie jahrelang erfolgreich ausnutzen
werden.
Viele kritische Schwachstellen werden jedes Jahr entdeckt, die von hoher
Dringlichkeit zu beheben sind, aber Log4Shell war ungewöhnlich, weil es
so einfach war, es auszunutzen, wo immer es vorhanden war, mit wenigen
Vorbehalten oder Feinheiten für Angreifer. Entwickler verwenden
Protokollierungsdienstprogramme, um Vorgänge in einer bestimmten
Anwendung aufzuzeichnen. Alles, was Angreifer tun müssen, um Log4Shell
auszunutzen, ist, das System dazu zu bringen, eine spezielle
Code-Zeichenfolge zu protokollieren. Von dort aus können sie die
Kontrolle über ihr Ziel übernehmen, um Malware zu installieren oder
andere digitale Angriffe zu starten. Logger protokollieren, so dass das
Einführen des bösartigen Snippets so einfach sein kann, wie es in einen
Kontobenutzernamen aufzunehmen oder es in einer E-Mail zu senden.
"Die Protokollierung ist im Wesentlichen für jeden Computersoftware-
oder Hardwarebetrieb von grundlegender Bedeutung. Egal, ob es sich um
eine Phlebotomiemaschine oder einen Anwendungsserver handelt, die
Protokollierung wird vorhanden sein", sagt David Nalley, Präsident der
gemeinnützigen Apache Software Foundation. "Wir wussten, dass Log4j weit
verbreitet war, wir sahen die Download-Zahlen, aber es ist schwer zu
verstehen, da man in Open Source kein Produkt verkauft und Verträge
verfolgt. Ich glaube nicht, dass Sie es vollständig zu schätzen wissen,
bis Sie eine vollständige Abrechnung darüber haben, wo sich Software
befindet, was sie tut und wer sie verwendet. Und ich denke, die
Tatsache, dass es so unglaublich allgegenwärtig war, war ein Faktor
dafür, dass alle so sofort reagierten. Es ist ein wenig demütigend,
ehrlich gesagt."
Die Situation schwingt mit größeren Diskussionen über die
Software-Lieferkette und der Tatsache mit, dass viele Unternehmen keine
angemessene Abrechnung der gesamten Software haben, die sie in ihren
Systemen verwenden, was es schwieriger macht, anfälligen Code zu
identifizieren und zu patchen. Ein Teil der Herausforderung besteht
jedoch darin, dass selbst wenn ein Unternehmen eine Liste aller Software
hat, die es gekauft oder bereitgestellt hat, diese Programme immer noch
andere Softwarekomponenten enthalten können - insbesondere
Open-Source-Bibliotheken und Dienstprogramme wie Log4j -, die dem
Endkunden nicht genau bekannt sind und die er nicht absichtlich
ausgewählt hat. Dies erzeugt den Welleneffekt einer Schwachstelle wie
Log4Shell sowie den Long Tail des Patchings, bei dem Unternehmen
entweder nicht wissen, dass sie gefährdet sind, oder die Dringlichkeit
von Investitionen in Upgrades nicht erkennen.
In der Zwischenzeit nutzen Angreifer Log4Shell immer noch aktiv aus, wo
immer sie können, von kriminellen Hackern, die nach einem Weg in die
Systeme der Ziele suchen, bis hin zu chinesischen und iranischen
staatlich unterstützten Angreifern, die den Exploit in ihren
Spionagekampagnen einsetzen.
"Log4Shell ist eine, die sich in den nächsten zehn Jahren als Teil der
Ursache in Datenschutzverletzungen zeigen wird - alles, was es braucht,
ist eine Instanz von Log4Shell, um anfällig zu sein", sagt Dan Lorenc,
CEO des Software-Supply-Chain-Sicherheitsunternehmens Chainguard.
"Glücklicherweise haben die meisten Verbraucher im vergangenen Jahr
keine Auswirkungen gespürt, weil die Schwere so hoch war, dass die Leute
an diesem schrecklichen Wochenende und während der Feiertage in einem
Rennen mit Angreifern herumgekrochen sind. Aber das hat wirtschaftliche
Auswirkungen, massive Anstrengungen, um diese Sanierung durchzuführen.
Und wir werden nicht in der Lage sein, jeden für etwas zu verwirren, das
auch nur ein bisschen weniger schwerwiegend ist. "
https://www.wired.com/story/log4j-log4shell-one-year-later/