Key Takeaways
- Tausende von Online-Servern und -Diensten sind immer noch der gefährlichen und leicht ausnutzbaren Schwachstelle loj4j ausgesetzt, finden Forscher heraus.
- Während die Hauptbedrohungen die Server selbst sind, können exponierte Server auch Endbenutzer gefährden, schlagen Cybersicherheitsexperten vor.
- Leider können die meisten Benutzer wenig tun, um das Problem zu beheben, außer die besten Desktop-Sicherheitspraktiken zu befolgen.
Die gefährliche log4J-Schwachstelle weigert sich zu sterben, selbst Monate nachdem ein Fix für den leicht ausnutzbaren Fehler verfügbar gemacht wurde.
Cybersicherheitsforscher von Rezilion haben kürzlich über 90.000 anfällige Anwendungen mit Internetzugriff entdeckt, darunter über 68.000 potenziell anfällige Minecraft-Server, deren Administratoren die Sicherheitspatches noch nicht angewendet haben, wodurch sie und ihre Benutzer Cyberangriffen ausgesetzt sind. Und es gibt wenig, was Sie dagegen tun können.
"Leider wird log4j uns Internetnutzer noch eine ganze Weile verfolgen", sagte Harman Singh, Direktor des Cybersicherheitsdienstleisters Cyphere, per E-Mail gegenüber Lifewire. "Da dieses Problem serverseitig ausgenutzt wird, können [die Leute] nicht viel tun, um die Auswirkungen einer Serverkompromittierung zu vermeiden."
Der Spuk
Die als Log4-Shell bezeichnete Schwachstelle wurde erstmals im Dezember 2021 beschrieben. Damals beschrieb Jen Easterly, Direktorin der US-amerikanischen Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), die Schwachstelle in einer telefonischen Besprechung als „eine der größten ernst, den ich in meiner gesamten Karriere gesehen habe, wenn nicht der ernsteste."
In einem E-Mail-Austausch mit Lifewire sagte Pete Hay, Instructional Lead bei SimSpace, einem Unternehmen für Cybersicherheitstests und -training, dass das Ausmaß des Problems anhand der Zusammenstellung anfälliger Dienste und Anwendungen von beliebten Anbietern wie Apple und Steam abgeschätzt werden kann, Twitter, Amazon, LinkedIn, Tesla und Dutzende andere. Es überrascht nicht, dass die Cybersicherheits-Community mit voller Wucht reagierte, wobei Apache fast sofort einen Patch veröffentlichte.
Rezilion-Forscher teilten ihre Ergebnisse mit und hofften, dass angesichts der massiven Berichterstattung in den Medien über den Fehler die Mehrheit, wenn nicht alle, anfälligen Server gepatcht worden wären. "Wir haben uns geirrt", schreiben die überraschten Forscher. "Leider sind die Dinge alles andere als ideal, und viele Anwendungen, die für Log4 Shell anfällig sind, existieren immer noch in freier Wildbahn."
Die Forscher fanden die anfälligen Instanzen mit der Suchmaschine Shodan Internet of Things (IoT) und glauben, dass die Ergebnisse nur die Spitze des Eisbergs sind. Die eigentliche verwundbare Angriffsfläche ist viel größer.
Sind Sie gefährdet?
Trotz der ziemlich großen exponierten Angriffsfläche glaubt Hay, dass es gute Nachrichten für den durchschnittlichen Heimanwender gibt. „Die meisten dieser [Log4J]-Sicherheitslücken existieren auf Anwendungsservern und haben daher höchstwahrscheinlich keine Auswirkungen auf Ihren Heimcomputer“, sagte Hay.
Jack Marsal, Senior Director, Product Marketing beim Cybersecurity-Anbieter WhiteSource, wies jedoch darauf hin, dass Menschen ständig mit Anwendungen im Internet interagieren, vom Online-Shopping bis zum Spielen von Online-Spielen, und sie sekundären Angriffen aussetzen. Ein kompromittierter Server kann möglicherweise alle Informationen preisgeben, die der Dienstanbieter über seinen Benutzer hat.
"Es gibt keine Möglichkeit, dass eine Person sicher sein kann, dass die Anwendungsserver, mit denen sie interagieren, nicht angreifbar sind", warnte Marsal. "Die Sichtbarkeit ist einfach nicht vorhanden."
Leider sind die Dinge alles andere als ideal, und viele Anwendungen, die für Log4 Shell anfällig sind, existieren immer noch in freier Wildbahn.
Positiv weist Singh darauf hin, dass einige Anbieter es Heimanwendern ziemlich einfach gemacht haben, die Schwachstelle zu beheben. Unter Hinweis auf die offizielle Minecraft-Mitteilung sagte er zum Beispiel, dass Leute, die die Java-Edition des Spiels spielen, einfach alle laufenden Instanzen des Spiels schließen und den Minecraft-Launcher neu starten müssen, der die gepatchte Version automatisch herunterlädt.
Der Vorgang ist etwas komplizierter und aufwendiger, wenn Sie sich nicht sicher sind, welche Java-Anwendungen Sie auf Ihrem Computer ausführen. Hay schlug vor, nach Dateien mit den Erweiterungen.jar,.ear oder.war zu suchen. Er fügte jedoch hinzu, dass das bloße Vorhandensein dieser Dateien nicht ausreicht, um festzustellen, ob sie der log4j-Schwachstelle ausgesetzt sind.
Er schlug den Leuten vor, die Skripte zu verwenden, die vom Computer Emergency Readiness Team (CERT) des Software Engineering Institute (SEI) der Carnegie Mellon University (CMU) herausgegeben wurden, um ihre Computer nach der Schwachstelle zu durchforsten. Die Skripte sind jedoch nicht grafisch, und ihre Verwendung erfordert den Zugriff auf die Befehlszeile.
Alles in allem glaubte Marsal, dass es in der heutigen vernetzten Welt an jedem liegt, sein Bestes zu geben, um sicher zu bleiben. Singh stimmte zu und riet den Leuten, grundlegende Desktop-Sicherheitspraktiken zu befolgen, um den Überblick über alle böswilligen Aktivitäten zu beh alten, die durch die Ausnutzung der Schwachstelle aufrechterh alten werden.
"[Personen] können sicherstellen, dass ihre Systeme und Geräte aktualisiert werden und der Endpunktschutz vorhanden ist", schlug Singh vor. "Dies würde ihnen bei Betrugswarnungen und der Vorbeugung gegen Folgen wilder Ausbeutung helfen."