Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps

Apple, Twitter, Amazon und tausende andere Dienste sind anfällig; erste Angriffe laufen bereits. Admins sollten unbedingt jetzt handeln.

Du musst Regestriert sein, um das angehängte Bild zusehen.


Über eine kritische Zero-Day-Sicherheitslücke namens Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4j können Angreifer beliebigen Code ausführen lassen. Betroffen sind etwa Dienste von Apple, Twitter, Steam, Amazon und vermutlich sehr viele kleinere Angebote. Es gibt Proof-of-Concept-Code, der das Ausnutzen der Lücke demonstriert und auch bereits erste Angriffe. Seit Kurzem steht ein Quellcode-Update des Apache-Projekts bereit; Admins sollten dringend aktiv werden.

Ein Angreifer kann die Sicherheitslücke ausnutzen, indem er manipulierte Anfragen an einen verwundbaren Server oder eine angreifbare Anwendung schickt. Der Proof-of-Concept-Code (PoC) der Pen-Testing-Gruppe 0x0021h zeigt, dass der Angreifer eine Zeichenkette der Form ${jndi:ldap://127.0.0.1:1389/a} ins Protokoll schreibt. Der Verzeichnisdienst JNDI kontaktiert den genannten LDAP-Server 127.0.0.1:1389 und nimmt schließlich von ihm Daten wie potenziell bösartige Java-Klassen entgegen und führt diese aus. Ein Angreifer müsste demnach einen von ihm kontrollierten Server angeben, um einen Server über das Logging zu kapern (Log4Shell).

Verwundbare Projekte

Die Zero-Day-Lücke Log4Shell hat bereits eine CVE-Nummer erhalten (CVE-2021-44228, Risiko kritisch, CVSSv3 10/10). Sie reißt in zahlreiche Dienste und Anwendungen Sicherheitslücken, die die Log4j-Bibliothek einsetzen. Die Pen-Testing-Gruppe 0x0021h schreibt zu ihrem PoC-Exploit, dass er für Apache Struts2, Apache Solr, Apache Druid, Apache Flink und weitere funktioniere.

Du musst angemeldet sein, um Medien zu sehen.

Ein weiterer Nutzer sammelt in einem github-Projekt verwundbare Dienste und Programme mit Screenshots als Beleg. Darunter sind viele namhafte wie Amazon, Apple iCloud, Cloudflare, Steam oder Twitter. Bei den Anwendungen tauchen unter anderem die von 0x0021h genannten sowie etwa das populäre Minecraft auf. Diverse Sicherheitsforscher berichten über Scans, die nach verwundbaren Diensten suchen und unter anderem das CERT der Deutschen Telekom beobachtet auch bereits erste Angriffe.

Du musst angemeldet sein, um Medien zu sehen.

Angreifbare Bibliothek

Betroffen von der Sicherheitslücke ist Log4j von Version 2.0-beta9 bis 2.14.1. Das Apache-Projekt hat kurzfristig Version 2.15.0 veröffentlicht, die die Lücke schließt. In einer Sicherheitsmeldung listen die Apache-Entwickler zudem Maßnahmen auf, wie man die Server ohne Update vorläufig sichern kann. Bei Log4j ab Version 2.10 helfe das Setzen der Systemeigenschaft "log4j2.formatMsgNoLookups" auf “true” oder das Entfernen der JndiLookup-Klasse aus dem Klassenpfad (etwa mit dem Befehl zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class). Zudem würde Java 8u121 das Ausführen eingschleusten Codes unterbinden, sodass eine Aktualisierung der Java-Umgebung helfen könnte.

In Kürze sollten Linux-Distributionen und Apache-basierte Projekte daher aktualisierte Pakete ausliefern, die Administratoren so rasch wie möglich installieren sollten.

Die Lücke erinnert an ShellShock: Damals waren viele Server durch eine Sicherheitslücke im Kommandozeileninterpreter Bash kompromittierbar. Einzelne Stimmen hatten darin sogar Wurm-Potenzial ausgemacht, also dass Schadcode automatisch von Server zu Server "kriechen" könnte.

Quelle; heise
 
BSI zu Server-Schwachstelle: Verbraucher noch nicht betroffen

Nach drastischen Warnungen vor einer Schwachstelle in einer vielgenutzten Server-Software ist das Ausmaß der Bedrohung weiterhin unklar. Die deutsche IT-Sicherheitsbehörde BSI sah zunächst keine unmittelbaren Folgen für Verbraucher. „Handys und iPads sind davon bisher nicht betroffen, das muss man ganz klar sagen“, sagte der BSI-Präsident Arne Schönbohm am Montag in Bonn. Betroffen seien vielmehr Behörden und Unternehmen und „am Ende der Verbraucher, der diese Dienstleistungen nutzt“.

Am Wochenende hatte das BSI wegen einer Sicherheitslücke in einer viel benutzten Bibliothek der Java-Software die Warnstufe Rot ausgerufen. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen Schadprogramme auf Servern von Diensteanbietern laufen lassen können. Die Schwachstelle ist auf einige ältere Versionen der Bibliothek mit dem Namen Log4j beschränkt. Schönbohm untermauerte am Montag die Dringlichkeit zum Handeln. Unternehmen und Behörden sollten so schnell wie möglich Updates durchführen.

Aus Bundesbehörden oder Unternehmen, die zur kritischen Infrastruktur zählen, gebe es bisher keine Hinweise auf erfolgreiche Angriffe, sagte ein Sprecher des Bundesinnenministeriums. Die Fälle in der Bundesverwaltung, wo diese Schwachstelle vorliege, bewegten sich „im einstelligen Bereich“. Auch in diesen Einzelfällen habe es keine erfolgreichen Angriffe gegeben.

Kriminelle seien sehr aktiv, sagte Schönbohm. „Wir sehen jetzt schon einen massenhaften Scan.“ Es finde ein Wettrennen zwischen Angreifern und Verteidigern statt. „Es sind nicht die gezielten Angriffe, sondern es geht darum, flächendeckend dort hineinzukommen und das auszunutzen, so dass man dann drin ist und andere Hintertüren installieren kann, bevor diese Lücke geschlossen ist.“

Diese Hintertüren könnten die Kriminellen dann noch lange ausnutzen.

Neben den Updates empfahl er den Unternehmen und Behörden, bestimmte Funktionalitäten zu unterbinden, „wodurch die Angriffsmöglichkeit deutlich geringer ist“.

Auf die Frage, wie viele Firmen denn betroffen seien, sagte Schönbohm: „Das kann man noch nicht sagen, wir sind in einer Phase der Aufbereitung.“ Seine Behörde stehe im Kontakt mit IT-Sicherheitsbehörden anderer Staaten, etwa von den Niederlanden, Frankreich und auch der USA. Ob bald Entwarnung gegeben werden könne, hänge davon ab, wie schnell Unternehmen die Schwachstelle schließen.

Nach Erkenntnissen der IT-Sicherheitsfirma F-Secure gelang es Angreifern bereits zum Teil, Erpressungs-Trojaner und Software zum Erstellen von Kryptowährungen auf den Servern zu installieren. „Log4j könnte die kritischste Schwachstelle aller Zeiten sein. Insbesondere, da das Problem herstellerübergreifend besteht“, sagte F-Secure-Experte Rüdiger Trost.

Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern.

Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge auftaucht, zum Beispiel durch eine Nachricht. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzte. Zugleich haben die Systeme großer Anbieter meist mehrschichtige Schutzmechanismen.

Quelle; INFOSAT
 
Zurück
Oben