Blog

Was ist Apache Log4j2 (Log4Shell) ?

Geschrieben von ForeNova | Januar 28, 2022

Interview mit Jason Yuan, VP – Product & Marketing, ForeNova


Die meisten der online verfügbaren Dokumente und Materialien zu dieser Schwachstelle sind sehr technisch und schwer verständlich. Deshalb haben wir einen Fachmann eingeladen, der uns dies in einer einfacheren und leichter verständlichen Sprache erklärt.

Sehen Sie, wie NovaCommand unbekannte Bedrohungen erkennt und Ihnen hilft, schnell zu handeln

Was hat es also mit dieser Log4j2 (Log4Shell) Sicherheitslücke auf sich?

  • Dies ist das größte Sicherheitsereignis des Jahrzehnts.
  • Manche sagen, es sei die größte Sicherheitslücke seit der Erfindung des Internets. Sie wirkt sich sowohl auf Unternehmen als auch auf Verbraucher aus.
  • In den Vereinigten Staaten stufte Jen Easterly, der Direktor derCybersecurity and Infrastructure Security Agency (CISA), die Sicherheitslücke als kritisch" ein und riet den Herstellern, Software-Updates zu priorisieren.
  • Die deutsche BehördeFederal Office for Information Security (BSI) stufte den Exploit auf die höchste Bedrohungsstufe ein und bezeichnete ihn als "extrem kritische Bedrohungssituation".

Wer könnte diese Apache Log4j2 (Log4Shell) Sicherheitslücken haben?

  • Erst einmal ein wenig zum technischer Hintergrund: Log4j2 wird von einem sehr großen Prozentsatz der in den letzten zehn Jahren entwickelten Java-Programme sowohl für Server- als auch für Client-Anwendungen verwendet. Java ist auch eine der am häufigsten von Unternehmen verwendeten Programmiersprachen.
  • Zweitens: Um Ihre Frage zu beantworten: Dies betrifft Software, die von Unternehmen und Regierungen weltweit genutzt wird. Im Grunde genommen alle Branchen. Alle Gegenden. Die globalen Bedrohungsdaten von ForeNova sind in der Lage, das gesamte Internet zu scannen, um schwache Systeme zu identifizieren. Letzte Woche, kurz nachdem wir von dieser Sicherheitslücke erfahren hatten, haben wir innerhalb einer Stunde 3000 infizierte Server identifiziert. Viele weitere werden in den nächsten Tagen folgen. Interessanterweise steht der Bildungssektor ganz oben auf der Liste. Ich vermute, dass sie nicht genug IT-Budget haben, um Software zu kaufen, und auch nicht genug Sicherheitsbudget, um sie zu sichern. Allerdings leiden so gut wie alle Branchen darunter.
  • Drittens: Viele Verbrauchersoftware ist betroffen. Hier ist, was in den letzten Tagen entdeckt wurde: Bluetooth-Kopfhörer. Wenn Sie Spiele spielen, ermöglicht Minecraft anderen Usern, Ihren Rechner in einen Krypto-Miner zu verwandeln. Im Internet ist es jemandem gelungen, diese Sicherheitslücke in iCloud zu demonstrieren. Eine solche Schwachstelle wurde bei den beliebtesten E-Commerce-Websites festgestellt. Eine noch gefährlichere Seite ist, dass ein erfolgreicher POC mit einem Top-Marken-Automobil-Entertainment-System durchgeführt wurde.

Welche Auswirkungen kann Log4j2 haben?

  • Dies ist eine Zero-Day-Ausführung von beliebigem Code. Sie wird als die "größte und kritischste Schwachstelle des letzten Jahrzehnts" bezeichnet.
  • Dies ermöglicht die Remotecodeausführung ohne Anmeldeinformationen. Das bedeutet, dass jemand Ihr System übernehmen kann, was bedeutet, dass er jeden Code ausführen und auf alle Daten auf dem betroffenen Rechner zugreifen kann. Er ermöglicht es ihnen auch, Dateien zu löschen oder zu verschlüsseln und Lösegeld für sie zu verlangen.
  • Es ist jedoch kein komplizierter Angriff. Und es erfordert keine besondere Erfahrung in der Softwareprogrammierung.
  • Um die Schwachstelle auszunutzen, muss ein Angreifer lediglich strategisch einen bösartigen Code-String senden, der schließlich von Log4j Version 2.0 oder höher aufgezeichnet wird. Die Schwachstelle ermöglicht es einem Angreifer, beliebigen Java-Code auf einen Server zu laden und so die Kontrolle zu übernehmen.

Was ist mit Kunden, die ihre eigene Software haben?

Alle Kunden, die Open-Source-Software verwenden, könnten ebenfalls Opfer eines solchen Angriffs werden.

Die Apache Software Foundation wies Log4Shell die maximale CVSS-Schweregradeinstufung von 10 zu, da Millionen von Servern potenziell für die Sicherheitslücke anfällig sein könnten.

Es hat sich gezeigt, dass die Sicherheit der Lieferkette sehr wichtig ist.

Wie sind wir hierher gelangt?

  • Die Sicherheitsverantwortlichen in den Softwareunternehmen bemühen sich, den Fehler zu beheben, der leicht ausgenutzt werden kann, um aus der Ferne die Kontrolle über anfällige Systeme zu übernehmen.
  • Gleichzeitig durchsuchen Hacker das Internet aktiv nach betroffenen Systemen. Einige haben bereits Tools entwickelt, die automatisch versuchen, den Fehler auszunutzen, sowie Würmer, die sich unter den richtigen Bedingungen unabhängig von einem anfälligen System auf ein anderes ausbreiten können.
  • Wir gehen davon aus, dass in den kommenden Wochen viele neue Ransomware-Programme diese Sicherheitslücke ausnutzen werden.

Was SOLLTEN die Kunden tun?

  • Beurteilen Sie so schnell wie möglich Ihre eigene Gefährdung. Einige können in wenigen Stunden erledigt werden, andere können Wochen dauern. Sie müssen Ihren Software- und Hardware-Anbieter überprüfen.
  • Für den Fall, dass Sie eine schnellere Bewertung benötigen, möchte ich Ihnen vorschlagen, mit Anbietern wie uns zusammenzuarbeiten, die Ihnen bei einer automatisierten Bewertung helfen. Hier sind einige Beispiele,
  • Unsere Netzwerkverkehrsanalyse kann anhand Ihres Netzwerkverkehrs jede Software in Ihrem Netzwerk erkennen, die die anfälligen Log4j2-Versionen verwendet
  • Für Server gibt es Software-Tools, die Ihnen helfen, eine Liste der Assets zu erstellen, die alle verwendete Software enthält und die anfälligen Systeme weiter identifizieren kann.

Ich habe es gefunden, was soll ich jetzt tun?

  • Patchen Sie es, wenn Sie die Möglichkeit dazu haben.
  • Viele Software kann jedoch nicht gepatcht werden. Möglicherweise verwenden Ihre Systeme Legacy-Software, also eine ältere Version von Java.
  • Ändern Sie Konfigurationen. Es gibt drei Varianten. Wir können Details gerne persönlich mit Ihnen besprechen.
  • Ein Virtueller Patch ist durch FW oder IPS, falls erforderlich. Contact us for details.
  • Setzen Sie einen NDR wie den unseren ein, um die Entdeckung, Erkennung und Reaktion von Assets zu verbessern.

Wie können die Kunden feststellen, ob sie gefährdet sind?

  • Log Review
  • Die meisten traditionellen Instrumente werden zur Prävention eingesetzt. FW, AV. Was Sie verbessern müssen, ist eine viel stärkere Aufdeckungs- und Reaktionsfähigkeit.
  • Nutzen Sie Tools wie unseren NDR , um Ihre Detektionsfähigkeiten zu verbessern.
  • Wenn Sie einen Sicherheitsvorfall entdecken, können Sie sich direkt an uns wenden, wir unterstützen Sie bei der Reaktion auf den Vorfall.

Sehen Sie, wie NovaCommand unbekannte Bedrohungen erkennt und Ihnen hilft, schnell zu handeln