Apache veröffentlicht dritten Patch zur Beseitigung einer neuen hochgradigen Log4j-Sicherheitslücke

Die Probleme mit Log4j häuften sich weiter, wie die Apache Software Foundation (ASF) am Freitag zusammensetzen weiteren Patch – Version 2.17.0 – zu Gunsten von die weit verbreitete Protokollierungsbibliothek herausbrachte, welcher von böswilligen Akteuren ausgenutzt werden könnte, um zusammensetzen Denial-of-Tafelgeschirr zu inszenieren (DoS Sturm.

Nachverfolgt wie CVE-2021-45105 (CVSS-Score: 7,5) betrifft die neue Schwachstelle jedweder Versionen des Tools von 2.0-beta9 solange bis 2.16.0, dasjenige die Open-Source-Organisation Zustandekommen dieser Woche ausgeliefert hat, um zusammensetzen zweiten Fehler zu beheben, welcher zu Remotecodeausführung (CVE- 2021-45046), die wiederum aus einem “unvollständigen” Rasant zu Gunsten von CVE-2021-44228 stammt, welcher im gleichen Sinne wie Log4Shell-Schwachstelle bezeichnet wird.

„Die Apache Log4j2-Versionen 2.0-alpha1 solange bis 2.16.0 schützten nicht vor unkontrollierten Rekursionen durch selbstreferenzielle Lookups“, erklärte die ASF in einem überarbeiteten Advisory. „Wenn die Protokollierungskonfiguration ein nicht standardmäßiges Musterlayout mit Kontextsuche verwendet (z Lookup, welches zu einem StackOverflowError führt, welcher den Prozess beendet.”

Hideki Okamoto von Akamai Technologies und einem anonymen Schwachstellenforscher wurde die Meldung des Fehlers zugeschrieben. Log4j-Versionen 1.x sind jedoch nicht von CVE-2021-45105 betroffen.

Es sei darauf hingewiesen, dass welcher Schweregrad von CVE-2021-45046, welcher ursprünglich wie DoS-Fehler eingestuft wurde, inzwischen von 3,7 aufwärts 9,0 überarbeitet wurde, um welcher Tatsache Zeche zu tragen, dass ein Angreifer die Sicherheitsanfälligkeit vergewaltigen könnte, um eine speziell gestaltete Zeichenfolge zu senden, die führt zu “Informationslecks und Remotecodeausführung in einigen Umgebungen und lokale Codeausführung in allen Umgebungen”, welches zusammensetzen früheren Berichterstattung von Sicherheitsforschern von Praetorian bestätigt.

Die Projektbetreuer stellten im gleichen Sinne verspannt, dass die Log4j-Versionen 1.x dasjenige Finale ihrer Nutzungsdauer erreicht nach sich ziehen und nicht mehr unterstützt werden und dass Sicherheitslücken, die nachher August 2015 im Tool aufgedeckt wurden, nicht behoben werden, und forderten die Benutzer aufwärts, aufwärts Log4j 2 zu updaten, um die neuesten Korrekturen zu erhalten .

Die Erfindung kommt, wie die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) eine Notfalldirektive herausgab, die zivile Bundesbehörden und -behörden anordnete, ihre mit dem World Wide Web verbundenen Systeme solange bis zum 23. inakzeptables Risiko.”

Die Erfindung kommt im gleichen Sinne, da sich die Log4j-Fehler wie lukrativer Angriffsvektor und Brennpunkt zu Gunsten von die Ausbeutung durch mehrere Bedrohungsakteure herausgestellt nach sich ziehen, darunter von welcher Nation unterstützte Hacker aus VR China, dem Persien, Nordkorea und welcher Türkei sowie die Conti-Ransomware Gangart, um eine Warteschlange bösartiger Folgeaktivitäten durchzuführen. Dies ist dasjenige erste Mal, dass die Sicherheitsanfälligkeit unter dasjenige Radar eines ausgeklügelten Crimeware-Kartells gelangt.

“Die aktuelle Verwertung führte zu mehreren Anwendungsfällen, in denen die Conti-Menschenschlag die Möglichkeiten welcher Nutzung des Log4j 2-Exploits getestet hat”, sagten die AdvIntel-Forscher. „Die Kriminellen verfolgten spezifisch gefährdete Log4j 2 VMware vCenter [servers] zu Gunsten von seitliche Bewegungen geradezu aus dem kompromittierten Netzwerk, welches dazu führt, dass welcher vCenter-Zugriff US- und europäische Opfernetzwerke aus den zuvor bestehenden Cobalt-Strike-Sitzungen beeinträchtigt.”

Zu den anderen, die den Fehler ausnutzen können, in Besitz sein von Kryptowährungs-Miner, Botnets, Remote-Access-Trojanisches Pferd, Erstzugriffsbroker und ein neuer Ransomware-Stamm namens Khonsari. Die israelische Sicherheitsfirma Check Point gab an, solange bis heute zusätzlich 3,7 Mio. Ausbeutungsversuche registriert zu nach sich ziehen, von denen 46% von bekannten böswilligen Gruppen vorgenommen wurden.