Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch Spionagetools Tools Industrie
MS Exchange Solar Winds RamsonFlicken
Schwach-stellen

Programme
Einfallstor für Schadsoftware : NSA entdeckt Sicherheitslücke bei Windows

Windows 10 hat einen Sicherheitsfehler So schwer die NSA offenbartes
Schwere Citrix-Lücke wird zu immer größerer Gefahr für Unternehmen
Microsoft plaudert versehentlich gefährliche Windows-Lücke aus

Microsoft bringt Update für kritische SMBv3-Sicherheitslücke


Eine Windows Defender-Sicherheits-anfälligkeit wurde 12 Jahre lang
unentdeckt


Vorbemerkungen zur Schwachstelle
Extrem kritische Sicherheitslücke bedroht Internetserver weltweit
Vermehrt Cyberangriffe: IT-Experten warnen vor Sicherheitslücke in Server-Software

BSI: Warnstufe Rot
Sicherheits-Super-GAU: Was ist Log4Shell, und wie geht es weiter?

Experten fürchten verheerende Angriffswelle wegen Sicherheitslücke in Logging-Software Log4j
Die Log4J-Schwachstelle wird das Internet jahrelang heimsuchen
Die nächste Welle von Log4J-Angriffen wird brutal
Schnallen Sie sich für mehr Log4j-Wahnsinn an



Ein Jahr später lauert diese brutale Log4j-Schwachstelle immer noch



 
W I R E D
Ein Jahr später lauert diese brutale Log4j-Schwachstelle immer noch

Eine Treppe, die zu einer offenen Tür führt, die ein helles rotes Licht ausstrahlt, befindet sich in einer dunklen, leeren Leere.
Vor einem Jahr, Als Russland Truppen an seiner Grenze zur Ukraine zusammenzog und die Covid-19-Omicron-Variante auf der ganzen Welt zu steigen begann, enthüllte die Apache Software Foundation eine Schwachstelle, die einen Rausch in der globalen Technologiebranche auslöste. Der Fehler, bekannt als Log4Shell, befand sich in der allgegenwärtigen Open-Source-Protokollierungsbibliothek Log4j und machte eine breite Palette von Anwendungen und Diensten verfügbar – von beliebten Verbraucher- und Unternehmensplattformen bis hin zu kritischen Infrastrukturen und Internet-of-Things-Geräten. Jetzt, nach Wochen intensiver Behebung im vergangenen Dezember und einem Jahr kumulativer Fortschritte beim Patchen, stellt Log4Shell nicht mehr die universelle Bedrohung dar, die es einmal war. Forscher warnen jedoch, dass die Sicherheitslücke immer noch in viel zu vielen Systemen weltweit vorhanden ist und dass Angreifer sie jahrelang erfolgreich ausnutzen werden.

Viele kritische Schwachstellen werden jedes Jahr entdeckt, die von hoher Dringlichkeit zu beheben sind, aber Log4Shell war ungewöhnlich, weil es so einfach war, es auszunutzen, wo immer es vorhanden war, mit wenigen Vorbehalten oder Feinheiten für Angreifer. Entwickler verwenden Protokollierungsdienstprogramme, um Vorgänge in einer bestimmten Anwendung aufzuzeichnen. Alles, was Angreifer tun müssen, um Log4Shell auszunutzen, ist, das System dazu zu bringen, eine spezielle Code-Zeichenfolge zu protokollieren. Von dort aus können sie die Kontrolle über ihr Ziel übernehmen, um Malware zu installieren oder andere digitale Angriffe zu starten. Logger protokollieren, so dass das Einführen des bösartigen Snippets so einfach sein kann, wie es in einen Kontobenutzernamen aufzunehmen oder es in einer E-Mail zu senden.

"Die Protokollierung ist im Wesentlichen für jeden Computersoftware- oder Hardwarebetrieb von grundlegender Bedeutung. Egal, ob es sich um eine Phlebotomiemaschine oder einen Anwendungsserver handelt, die Protokollierung wird vorhanden sein", sagt David Nalley, Präsident der gemeinnützigen Apache Software Foundation. "Wir wussten, dass Log4j weit verbreitet war, wir sahen die Download-Zahlen, aber es ist schwer zu verstehen, da man in Open Source kein Produkt verkauft und Verträge verfolgt. Ich glaube nicht, dass Sie es vollständig zu schätzen wissen, bis Sie eine vollständige Abrechnung darüber haben, wo sich Software befindet, was sie tut und wer sie verwendet. Und ich denke, die Tatsache, dass es so unglaublich allgegenwärtig war, war ein Faktor dafür, dass alle so sofort reagierten. Es ist ein wenig demütigend, ehrlich gesagt."

Die Situation schwingt mit größeren Diskussionen über die Software-Lieferkette und der Tatsache mit, dass viele Unternehmen keine angemessene Abrechnung der gesamten Software haben, die sie in ihren Systemen verwenden, was es schwieriger macht, anfälligen Code zu identifizieren und zu patchen. Ein Teil der Herausforderung besteht jedoch darin, dass selbst wenn ein Unternehmen eine Liste aller Software hat, die es gekauft oder bereitgestellt hat, diese Programme immer noch andere Softwarekomponenten enthalten können - insbesondere Open-Source-Bibliotheken und Dienstprogramme wie Log4j -, die dem Endkunden nicht genau bekannt sind und die er nicht absichtlich ausgewählt hat. Dies erzeugt den Welleneffekt einer Schwachstelle wie Log4Shell sowie den Long Tail des Patchings, bei dem Unternehmen entweder nicht wissen, dass sie gefährdet sind, oder die Dringlichkeit von Investitionen in Upgrades nicht erkennen.

In der Zwischenzeit nutzen Angreifer Log4Shell immer noch aktiv aus, wo immer sie können, von kriminellen Hackern, die nach einem Weg in die Systeme der Ziele suchen, bis hin zu chinesischen und iranischen staatlich unterstützten Angreifern, die den Exploit in ihren Spionagekampagnen einsetzen.

"Log4Shell ist eine, die sich in den nächsten zehn Jahren als Teil der Ursache in Datenschutzverletzungen zeigen wird - alles, was es braucht, ist eine Instanz von Log4Shell, um anfällig zu sein", sagt Dan Lorenc, CEO des Software-Supply-Chain-Sicherheitsunternehmens Chainguard. "Glücklicherweise haben die meisten Verbraucher im vergangenen Jahr keine Auswirkungen gespürt, weil die Schwere so hoch war, dass die Leute an diesem schrecklichen Wochenende und während der Feiertage in einem Rennen mit Angreifern herumgekrochen sind. Aber das hat wirtschaftliche Auswirkungen, massive Anstrengungen, um diese Sanierung durchzuführen. Und wir werden nicht in der Lage sein, jeden für etwas zu verwirren, das auch nur ein bisschen weniger schwerwiegend ist. "
https://www.wired.com/story/log4j-log4shell-one-year-later/
Ein Jahr später lauert diese brutale Log4j-Schwachstelle immer noch
Eine Treppe, die zu einer offenen Tür führt, die ein helles rotes Licht ausstrahlt, befindet sich in einer dunklen, leeren Leere.
Vor einem Jahr, Als Russland Truppen an seiner Grenze zur Ukraine zusammenzog und die Covid-19-Omicron-Variante auf der ganzen Welt zu steigen begann, enthüllte die Apache Software Foundation eine Schwachstelle, die einen Rausch in der globalen Technologiebranche auslöste. Der Fehler, bekannt als Log4Shell, befand sich in der allgegenwärtigen Open-Source-Protokollierungsbibliothek Log4j und machte eine breite Palette von Anwendungen und Diensten verfügbar – von beliebten Verbraucher- und Unternehmensplattformen bis hin zu kritischen Infrastrukturen und Internet-of-Things-Geräten. Jetzt, nach Wochen intensiver Behebung im vergangenen Dezember und einem Jahr kumulativer Fortschritte beim Patchen, stellt Log4Shell nicht mehr die universelle Bedrohung dar, die es einmal war. Forscher warnen jedoch, dass die Sicherheitslücke immer noch in viel zu vielen Systemen weltweit vorhanden ist und dass Angreifer sie jahrelang erfolgreich ausnutzen werden.

Viele kritische Schwachstellen werden jedes Jahr entdeckt, die von hoher Dringlichkeit zu beheben sind, aber Log4Shell war ungewöhnlich, weil es so einfach war, es auszunutzen, wo immer es vorhanden war, mit wenigen Vorbehalten oder Feinheiten für Angreifer. Entwickler verwenden Protokollierungsdienstprogramme, um Vorgänge in einer bestimmten Anwendung aufzuzeichnen. Alles, was Angreifer tun müssen, um Log4Shell auszunutzen, ist, das System dazu zu bringen, eine spezielle Code-Zeichenfolge zu protokollieren. Von dort aus können sie die Kontrolle über ihr Ziel übernehmen, um Malware zu installieren oder andere digitale Angriffe zu starten. Logger protokollieren, so dass das Einführen des bösartigen Snippets so einfach sein kann, wie es in einen Kontobenutzernamen aufzunehmen oder es in einer E-Mail zu senden.

"Die Protokollierung ist im Wesentlichen für jeden Computersoftware- oder Hardwarebetrieb von grundlegender Bedeutung. Egal, ob es sich um eine Phlebotomiemaschine oder einen Anwendungsserver handelt, die Protokollierung wird vorhanden sein", sagt David Nalley, Präsident der gemeinnützigen Apache Software Foundation. "Wir wussten, dass Log4j weit verbreitet war, wir sahen die Download-Zahlen, aber es ist schwer zu verstehen, da man in Open Source kein Produkt verkauft und Verträge verfolgt. Ich glaube nicht, dass Sie es vollständig zu schätzen wissen, bis Sie eine vollständige Abrechnung darüber haben, wo sich Software befindet, was sie tut und wer sie verwendet. Und ich denke, die Tatsache, dass es so unglaublich allgegenwärtig war, war ein Faktor dafür, dass alle so sofort reagierten. Es ist ein wenig demütigend, ehrlich gesagt."

Die Situation schwingt mit größeren Diskussionen über die Software-Lieferkette und der Tatsache mit, dass viele Unternehmen keine angemessene Abrechnung der gesamten Software haben, die sie in ihren Systemen verwenden, was es schwieriger macht, anfälligen Code zu identifizieren und zu patchen. Ein Teil der Herausforderung besteht jedoch darin, dass selbst wenn ein Unternehmen eine Liste aller Software hat, die es gekauft oder bereitgestellt hat, diese Programme immer noch andere Softwarekomponenten enthalten können - insbesondere Open-Source-Bibliotheken und Dienstprogramme wie Log4j -, die dem Endkunden nicht genau bekannt sind und die er nicht absichtlich ausgewählt hat. Dies erzeugt den Welleneffekt einer Schwachstelle wie Log4Shell sowie den Long Tail des Patchings, bei dem Unternehmen entweder nicht wissen, dass sie gefährdet sind, oder die Dringlichkeit von Investitionen in Upgrades nicht erkennen.

In der Zwischenzeit nutzen Angreifer Log4Shell immer noch aktiv aus, wo immer sie können, von kriminellen Hackern, die nach einem Weg in die Systeme der Ziele suchen, bis hin zu chinesischen und iranischen staatlich unterstützten Angreifern, die den Exploit in ihren Spionagekampagnen einsetzen.

"Log4Shell ist eine, die sich in den nächsten zehn Jahren als Teil der Ursache in Datenschutzverletzungen zeigen wird - alles, was es braucht, ist eine Instanz von Log4Shell, um anfällig zu sein", sagt Dan Lorenc, CEO des Software-Supply-Chain-Sicherheitsunternehmens Chainguard. "Glücklicherweise haben die meisten Verbraucher im vergangenen Jahr keine Auswirkungen gespürt, weil die Schwere so hoch war, dass die Leute an diesem schrecklichen Wochenende und während der Feiertage in einem Rennen mit Angreifern herumgekrochen sind. Aber das hat wirtschaftliche Auswirkungen, massive Anstrengungen, um diese Sanierung durchzuführen. Und wir werden nicht in der Lage sein, jeden für etwas zu verwirren, das auch nur ein bisschen weniger schwerwiegend ist. "
https://www.wired.com/story/log4j-log4shell-one-year-later/