Key Takeaways
- Hacker haben einen Code gepostet, der einen Exploit in einer weit verbreiteten Java-Logging-Bibliothek enthüllt.
- Cybersicherheitsdetektive bemerkten Massenscans im Internet auf der Suche nach ausnutzbaren Servern und Diensten.
-
Die Cybersecurity and Infrastructure Security Agency (CISA) hat Anbieter und Benutzer aufgefordert, ihre Software und Dienste dringend zu patchen und zu aktualisieren.
Die Cybersicherheitslandschaft steht aufgrund einer leicht auszunutzenden Schwachstelle in einer beliebten Java-Logging-Bibliothek, Log4j, in Flammen. Es wird von jeder gängigen Software und allen gängigen Diensten verwendet und hat vielleicht bereits damit begonnen, den alltäglichen Desktop- und Smartphone-Benutzer zu beeinflussen.
Cybersicherheitsexperten sehen eine Vielzahl von Anwendungsfällen für den Log4j-Exploit, die bereits im Dark Web auftauchen, angefangen von der Ausnutzung von Minecraft-Servern bis hin zu bekannteren Problemen, von denen sie glauben, dass sie möglicherweise Apple iCloud betreffen könnten.
"Diese Log4j-Schwachstelle hat einen Trickle-Down-Effekt und wirkt sich auf alle großen Softwareanbieter aus, die diese Komponente möglicherweise als Teil ihrer Anwendungspaketierung verwenden", sagte John Hammond, Senior Security Researcher bei Huntress, Lifewire per E-Mail. „Die Sicherheitsgemeinschaft hat unter anderem anfällige Anwendungen von anderen Technologieherstellern wie Apple, Twitter, Tesla, [und] Cloudflare aufgedeckt
Feuer im Loch
Die als CVE-2021-44228 verfolgte und als Log4Shell bezeichnete Schwachstelle hat den höchsten Schweregrad von 10 im Common Vulnerability Scoring System (CVSS).
GreyNoise, das den Internetverkehr analysiert, um wichtige Sicherheitssignale zu erkennen, beobachtete am 9. Dezember 2021 erstmals Aktivitäten für diese Schwachstelle. Zu diesem Zeitpunkt tauchten bewaffnete Proof-of-Concept-Exploits (PoCs) auf, die zu einem rasche Zunahme des Scannens und der öffentlichen Nutzung am 10. Dezember 2021 und über das Wochenende.
Log4j ist stark in eine breite Palette von DevOps-Frameworks und Unternehmens-IT-Systemen sowie in Endbenutzersoftware und beliebte Cloud-Anwendungen integriert.
Anirudh Batra, ein Bedrohungsanalyst bei CloudSEK, erläutert die Schwere der Schwachstelle und teilt Lifewire per E-Mail mit, dass ein Bedrohungsakteur sie ausnutzen könnte, um Code auf einem Remote-Server auszuführen.
"Dadurch sind sogar populäre Spiele wie Minecraft angreifbar geworden. Ein Angreifer kann es ausnutzen, indem er einfach eine Payload in der Chatbox postet. Nicht nur Minecraft, sondern auch andere beliebte Dienste wie iCloud [und] Steam sind ebenfalls anfällig", Batra erklärte und fügte hinzu, dass „das Auslösen der Schwachstelle in einem iPhone so einfach ist wie das Ändern des Namens des Geräts."
Spitze des Eisbergs
Cybersicherheitsunternehmen Tenable schlägt vor, dass das volle Ausmaß der Schwachstelle für einige Zeit nicht bekannt sein wird, da Log4j in einer Reihe von Webanwendungen enth alten ist und von einer Vielzahl von Cloud-Diensten verwendet wird.
Das Unternehmen verweist auf ein GitHub-Repository, das die betroffenen Dienste verfolgt und zum Zeitpunkt des Schreibens etwa drei Dutzend Hersteller und Dienste auflistet, darunter beliebte wie Google, LinkedIn, Webex, Blender und andere, die bereits erwähnt wurden.
Während wir hier sprechen, erkundet die Branche immer noch die riesige Angriffsfläche und riskiert diese Schwachstelle.
Bis jetzt war die überwiegende Mehrheit der Aktivitäten das Scannen, aber auch Exploitation und Post-Exploitation-Aktivitäten wurden beobachtet.
"Microsoft hat Aktivitäten beobachtet, darunter die Installation von Coin Minern, Cob alt Strike, um den Diebstahl von Anmeldeinformationen und seitliche Bewegungen zu ermöglichen, und das Exfiltrieren von Daten aus kompromittierten Systemen", schreibt das Microsoft Threat Intelligence Center.
Die Luken zumachen
Es ist daher keine Überraschung, dass Andrew Morris, Gründer und CEO von GreyNoise, aufgrund der einfachen Nutzung und Verbreitung von Log4j Lifewire mitteilt, dass er glaubt, dass die feindseligen Aktivitäten in den nächsten Tagen weiter zunehmen werden.
Die gute Nachricht ist jedoch, dass Apache, die Entwickler der verwundbaren Bibliothek, einen Patch herausgegeben haben, um die Exploits zu neutralisieren. Aber es liegt jetzt an den einzelnen Softwareherstellern, ihre Versionen zu patchen, um ihre Kunden zu schützen.
Kunal Anand, CTO des Cybersicherheitsunternehmens Imperva, teilt Lifewire per E-Mail mit, dass sich die meisten der gegnerischen Kampagnen zur Ausnutzung der Schwachstelle derzeit an Unternehmensbenutzer richten, Endbenutzer jedoch wachsam bleiben und sicherstellen müssen, dass sie ihre betroffene Software aktualisieren sobald Patches verfügbar sind.
Die Meinung wurde von Jen Easterly, Direktorin der Cybersecurity and Infrastructure Security Agency (CISA), bestätigt.
Endbenutzer sind auf ihre Anbieter angewiesen, und die Anbietergemeinschaft muss die breite Palette von Produkten, die diese Software verwenden, sofort identifizieren, entschärfen und patchen. Anbieter sollten auch mit ihren Kunden kommunizieren, um sicherzustellen, dass Endbenutzer Bescheid wissen dass ihr Produkt diese Schwachstelle enthält und Software-Updates priorisieren sollte “, sagte Easterly in einer Erklärung.
