Ausnutzung von Schwachstellen
Patch Now: Apache Log4j Vulnerability Called Log4Shell Actively Exploited
Log4Shell, also known as CVE-2021-44228, was first reported privately to Apache on November 24 and was patched on December 9. It affects Apache Struts, Apache Solr, Apache Druid, Elasticsearch, Apache Dubbo, and VMware vCenter.
Save to Folio
Originalartikel von Ranga Duraisamy, Ashish Verma, Nikko Tamana, Miguel Carlo Ang
In einem weit verbreiteten Logging-Paket für Java, ist eine Schwachstelle () gefunden und mit dem Namen versehen worden. Sie erm?glicht es einem Angreifer, beliebigen Code auszuführen, indem er speziell bearbeitete Log-Nachrichten sendet. Die Sicherheitslücke wurde Apache erstmals am 24. November privat gemeldet und am 9. Dezember mit Version 2.15.0 von Log4j gepatcht. Betroffen sind Apache Struts, Apache Solr, Apache Druid, Elasticsearch, Apache Dubbo und VMware vCenter. Derzeit beobachten wir, dass Bedrohungsakteure Mirai-Varianten und Kinsing-Coin-Miner auf anf?lligen Servern ablegen. Wir haben ein webbasiertes Tool, , entwickelt, mit dem angreifbare Serveranwendungen identifiziert werden k?nnen. Wir haben die Einzelheiten zu den jetzt schon bekannten Angriffen sowie Patch- und weitere Empfehlungen zum Schutz zusammengestellt. Eine komplette Liste unserer L?sungen finden Sie .
W?hrend ein Teil dieses Netzwerkverkehrs einfach zu monitoren ist, verwenden andere Akteure eine Verschleierungstaktik, um ihren Verkehr zu verbergen.
Infektionsablauf
Wir zeigen einen m?glichen Infektionsablauf von Angriffen, die Log4Shell missbrauchen k?nnten:
Bild 1. M?glicher Log4Shell-Infektionsablauf
Die Schwachstelle wird vom ?Lookup“-Mechanismus in log4j 2.x verursacht. Es werden mehrere JNDI-Lookup-Protokolle unterstützt, die Lookups aus der Ferne erm?glichen, wie etwa LDAP und RMI. Sobald der Exploit erfolgreich durchgeführt wurde, interpretiert der Server je nach Inhalt der URL im Lookup die Zeichenfolge. Dies kann dann zu beliebigen Shell-Befehlen in verschiedenen Formen wie Java Class, JavaScript und Unix-Shell führen, um nur einige zu nennen. Auch konnten wir das Herunterladen von Komponenten beobachten, die laterale Bewegungen erm?glichen und zu einer eventuellen Ransomware-Infektion führen. Die Schwachstelle kann auch zum Herunterladen von Malware führen, die Anmeldedaten stehlen kann, wie z. B. Kirabash. Technische Einzelheiten liefert der Originalbeitrag.
Auswirkungen
Derzeit scheint es nur das Mirai botnet und den Kinsing.Coinminer als Payload zu geben. Zwei Auswirkungen sind denkbar:
- Kapern von Ressourcen. Coinminer verbrauchen Ressourcen für das Mining von Kryptow?hrungen, w?hrend Mirai die betroffenen Systeme als Teil seines Botnetzes für Aktivit?ten wie Distributed Denial of Service (DDoS) oder Spamming nutzen k?nnte.
- Netzwerk-Denial-of-Service (DoS). Mirai kann das betroffene System dazu nutzen, im Rahmen seiner Routine DDoS/DoS-Angriffe zu starten.
Patch und Schadensbegrenzung
Obwohl die Angriffe im Moment überwiegend über HTTP erfolgen, k?nnte die Schwachstelle über jedes beliebige Protokoll ausgenutzt werden, bei dem Benutzereingabedaten mit Log4j protokolliert werden. Wir empfehlen daher jedem dringend, auf Log4j 2.15.0 zu aktualisieren. Bis die angreifbaren Instanzen gepatcht sind, kann die Sicherheitslücke durch die folgenden Schritte entsch?rft werden:
- For >=2.10, set system property?log4j2.formatMsgNoLookups?to?true.
- For >=2.10, set environment variable?LOG4J_FORMAT_MSG_NO_LOOKUPS?to?true.
- For 2.0-beta9 to 2.10.0, remove?JndiLookup.class?from class path:?zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.
Eine empfohlene Best Practice besteht darin, den ausgehenden Datenverkehr ins Internet nur auf die erforderlichen Ports zu beschr?nken.
Es ist wichtig zu beachten, dass die oben genannten Schritte vor allem in F?llen nützlich sind, in denen Log4j direkt verwendet wird. Andere Patches für Anwendungen, die Log4j indirekt nutzen, k?nnen ebenfalls erforderlich sein. Wie die folgende Liste zeigt, haben mehrere Softwarehersteller Produkte, die diese Sicherheitslücke aufweisen.
Anleitung zur Erkennung
Applikationslogs sollten auf das Vorhandensein von diesen Mustern überwacht werden: ${jndi:ldap:/}, ${jndi:ldaps:/}, ${jndi:rmi:/}, ${jndi:dns:/ und ${jndi:iiop:/}.
Angreifbare Produkte, Anwendungen und Plug-ins
Einige der Pakete nutzen die angreifbare Version von Log4j: Eine Liste mit den betroffenen Produkten beinhaltet der Originalbeitrag.
Product/Application/Plug-ins |
Description |
Details |
RedHat |
Nicht alle RedHat-Pakete sind angreifbar, doch sind einige von Openshift und JBoss betroffen. |
|
Jenkins |
Obwohl Jenkins Core standardm??ig nicht betroffen ist, k?nnen in Jenkins installierte Plug-ins die anf?llige Version verwenden. Es gibt eine Methode, um zu überprüfen, ob eines der installierten Plug-ins Log4j verwendet. Der zweite Link enth?lt eine Liste der angreifbaren Versionen des Plug-ins, die bislang gefunden wurden. |
|
Apache Solr |
Apache Solr Releases vor 7.4 sind betroffen. |
|
VMWare |
Mehrere Produkte sind betroffen. |
|
Citrix |
Untersuchung im Gange |
|
Atlassian |
Ist angreifbar, wenn die Standdardkonfiguration ge?ndert wurde. |
|
NetApp |
Mehrere Produkte sind angreifbar. |
Empfehlungen
Hersteller-Patches sollten eingespielt werden. Darüber hinaus hat live casino online zus?tzliche Regeln, Filter und Erkennungsschutz ver?ffentlicht, die zus?tzlichen Schutz vor und Erkennung von b?sartigen Komponenten in Verbindung mit solchen Angriffen bieten k?nnen.
Weitere Techniken auch aus dem MITRE ATT&CK-Framework sowie die Indicators of Compromise bietet der Originalbeitrag.