Extrem kritische Log4J-Sicherheitslücke gefährdet kombinieren Majorität des Internets

Die Apache Software Foundation hat Fixes veröffentlicht, die ein in Betrieb nutzte eine Zero-Day-Schwachstelle aus, die die weit verbreitete Java-basierte Protokollierungsbibliothek Apache Log4j betrifft, die denn Waffe eingesetzt werden könnte, um schädlichen Kode auszuführen und eine vollständige Übernehmen anfälliger Systeme zu zuteilen.

Dies Problem, dasjenige denn CVE-2021-44228 und unter den Spitznamen Log4Shell oder LogJam verfolgt wird, betrifft kombinieren Kern von nicht authentifizierter Remote Kode Execution (RCE) in jeder Programm, die dasjenige Open-Source-Tool verwendet und betrifft die Versionen Log4j 2.0-beta9 solange bis 2.14. 1. Welcher Fehler hat im CVSS-Bewertungssystem eine perfekte 10 von 10 erhalten, welches uff die Schwere des Problems hinweist.

“Ein Angreifer, dieser Protokollnachrichten oder Protokollnachrichtenparameter kontrollieren kann, kann beliebigen Kode bewirken, dieser von LDAP-Servern geladen wird, wenn die Nachrichtensuche-Ersetzung aktiviert ist”, sagte die Apache Foundation in einem Advisory. “Ab Log4j 2.15.0 wurde dieses Verhalten standardmäßig deaktiviert.”

Die Ausbeutung kann durch eine einzelne Textzeichenfolge erreicht werden, die eine Programm dazu veranlassen kann, kombinieren bösartigen externen Host zu gelingen, wenn sie oben die anfällige Instanz von Log4j protokolliert wird, welches dem Gegner effektiv die Möglichkeit gibt, eine Nutzlast von einem Remote-Server abzurufen und lokal bewirken. Die Projektbetreuer schrieben Chen Zhaojun vom Alibaba Cloud Security Team zu, dasjenige Problem entdeckt zu nach sich ziehen.

Log4j wird denn Logging-Päckchen in einer Vielzahl verschiedener beliebter Software von einer Schlange von Herstellern verwendet, darunter Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter und Videospiele wie Minecraft. Im letzteren Kern konnten Angreifer Erhalte RCE uff Minecraft-Servern während Sie wie am Schnürchen eine speziell gestaltete Nachricht in dasjenige Chat-Feld einfügen.

Eine riesige Angriffsfläche

„Die Zero-Day-Schwachstelle Apache Log4j ist wahrscheinlich die kritischste Schwachstelle, die wir in diesem Jahr gesehen nach sich ziehen“, sagte Bharat Jogi, Senior Manager z. Hd. Schwachstellen und Signaturen im Zusammenhang Qualys. “Log4j ist eine allgegenwärtige Bibliothek, die von Mio. von Java-Anwendungen zum Protokollieren von Fehlermeldungen verwendet wird. Welche Schwachstelle ist wie am Schnürchen auszunutzen.”

Die Cybersicherheitsfirmen BitDefender, Cisco Talos, Huntress Labs und Sonatype nach sich ziehen jedweder bestätigte Beweise z. Hd. Massenscannen dieser betroffenen Anwendungen in freier Wildbahn z. Hd. verwundbare Server und Angriffe, die gegen ihre Honeypot-Netzwerke registriert wurden, nachher Verfügbarkeit eines Machbarkeitsnachweises (PoC) Ausbeuten. “Dies ist ein Sturm mit geringen Fähigkeiten, dieser extrem wie am Schnürchen auszuführen ist”, sagte Ilkka Turunen von Sonatype.

GreyNoise verglich den Fehler mit Shellshock und sagte, es habe ab dem 9. Monat des Winterbeginns 2021 bösartige Aktivitäten beobachtet, die uff die Sicherheitsanfälligkeit abzielen Ausbeutungsversuche aus Kanada, den USA, den Niederlanden, Französische Republik und Großbritannien

In Bezug auf dieser einfachen Verwendung und Verbreitung von Log4j in dieser Unternehmens-IT und DevOps wird erwartet, dass in den kommenden Tagen Angriffe in dieser Wildnis uff anfällige Server zunehmen werden, sodass dieser Fehler sofort behoben werden muss. Dies israelische Cybersicherheitsunternehmen Cybereason hat außerdem kombinieren Rasant namens “Logout4Shell” veröffentlicht, dieser den Not schließt, während die Schwachstelle selbst verwendet wird, um den Logger neu zu konfigurieren und eine weitere Verwendung des Angriffs zu verhindern.

„Welche Sicherheitslücke in Log4j (CVE-2021-44228) ist extrem schlimm. Mio. von Anwendungen verwenden Log4j z. Hd. die Protokollierung, und dieser Angreifer muss lediglich die App dazu herbringen, eine spezielle Zeichenfolge zu protokollieren“, sagt Sicherheitsexperte Marcus Hutchins sagte in einem Tweet.