Die Log4J-Sicherheitslücke wird dasjenige Netz langjährig verfolgen

Eine Schwachstelle in Die Open-Source-Apache-Logging-Bibliothek Log4j schickte oberhalb dasjenige Wochenende Systemadministratoren und Sicherheitsexperten ins Getümmel. Die denn Log4Shell bekannte Schwachstelle setzt wenige jener weltweit beliebtesten Anwendungen und Dienste Angriffen aus, und die Aussichten nach sich ziehen sich seitdem Bekanntwerden jener Schwachstelle am vierter Tag der Woche nicht verbessert. Wenn gar, ist jetzt qualvoll lukulent, dass Log4Shell zweitrangig in den kommenden Jahren weiterhin Verwüstung im Netz servieren wird.

Hacker nutzen den Fehler seitdem Werden des Monats aus, so Forscher von Cisco und Wolkenflare. Nachdem jener Offenlegung von Apache am vierter Tag der Woche nahmen die Angriffe jedoch tragisch zu. Bisher nach sich ziehen Angreifer den Fehler ausgenutzt, um Cryptominer hinauf anfälligen Systemen zu installieren, Systemanmeldeinformationen zu stehlen, tiefer in kompromittierte Netzwerke einzudringen und Fakten zu stehlen, so ein kürzlich veröffentlichter Bulletin von Microsoft.

Die Spektrum jener Auswirkungen ist aufgrund jener Fasson jener Schwachstelle selbst so breit gefächert. Entwickler verwenden Protokollierungs-Frameworks, um zu verfolgen, welches in einer bestimmten Softwareanwendungen passiert. Um Log4Shell auszunutzen, muss ein Angreifer dasjenige System lediglich dazu mitbringen, zusammenführen strategisch erstellten Kode-Zeichenstrang zu protokollieren. Von dort aus können sie beliebigen Kode hinauf den Zielserver laden und Schadsoftware installieren oder andere Angriffe starten. Insbesondere können Hacker dasjenige Snippet hinauf virtuell harmlose Weise importieren, während sie etwa die Zeichenfolge in einer E-Mail-Nachricht senden oder denn Kontobenutzernamen festlegen.

Große Technologieunternehmen, darunter Amazon Web Services, Microsoft, Cisco, Google Cloud und IBM, nach sich ziehen sämtliche festgestellt, dass zumindest wenige ihrer Dienste empfänglich waren, und nach sich ziehen sich beeilt, Fehlerbehebungen herauszugeben und Kunden oberhalb dasjenige beste Vorgehen zu gemeinsam nachdenken. Dasjenige genaue Größenordnung jener Exposition ist jedoch noch in Sicht. Weniger anspruchsvolle Organisationen oder kleinere Entwickler, denen es an Ressourcen und Wahrnehmung mangelt, werden jener Log4Shell-Gefahr langsamer begegnen.

„Weitestgehend sicher ist, dass die Personen oberhalb Jahre hinweg den langen Schwanz neuer anfälliger Software erspähen werden, wenn sie oberhalb neue Orte nachdenken, um Exploit-Strings zu positionieren“, sagt jener unabhängige Sicherheitsforscher Chris Frohoff. „Dasjenige wird sich wohl noch nachhaltig in Assessments und Penetrationstests von benutzerdefinierten Enterprise-Apps zeigen.“

Die Sicherheitsanfälligkeit wird schon von einer „wachsenden Menschenschar von Bedrohungsakteuren“ ausgenutzt, sagte Jen Easterly, Direktorin jener US-amerikanischen Behörde pro Cybersicherheit und Infrastruktursicherheit, in einer Hinweistext am sechster Tag der Woche. Sie fügte in einem Telefongespräch mit Betreibern kritischer Infrastrukturen am Montag hinzu, dass jener Fehler “einer jener schwerwiegendsten ist, den ich in meiner gesamten Karriere gesehen habe, wenn nicht jener schwerwiegendste”, wie CyberScoop erstmals berichtete. In demselben Telefongespräch schätzte ein CISA-Staatsdiener, dass wahrscheinlich Hunderte Mio. von Geräten betroffen sind.

Dieser schwierige Teil wird es sein, all welche aufzuspüren. Viele Unternehmen verfügen nicht oberhalb eine klare Rechnungswesen pro jedes von ihnen verwendete Sendung und die Softwarekomponenten in jedem dieser Systeme. Dasjenige britische Patriotisch Cyber ​​Security Center betonte am Montag, dass Unternehmen zusätzlich zum Patchen jener üblichen Verdächtigen „unbekannte Instanzen von Log4j erspähen“ zu tun sein. Open-Source-Software kann naturgemäß überall dort integriert werden, wo Entwickler es wünschen. Wenn danach eine größere Schwachstelle auftaucht, kann an jeder Zinke exponierter Kode lauern. Schon vor Log4Shell hatten Fürsprecher von Software-Supply-Chain-Sicherheit zunehmend hinauf „Software-Stücklisten“ oder SBOMs gedrängt, um die Inventur zu vereinfachen und mit den Sicherheitsvorkehrungen Schrittgeschwindigkeit zu halten.