Neuer Log4j-Angriffsvektor entdeckt

Unternehmen, die daran funktionieren, die Gefährdung durch Angriffe gen die am 9. Monat des Winterbeginns offengelegte Sicherheitslücke Log4j Remote Kode Execution (RCE) zu reduzieren, zu tun sein manche neue Überlegungen berücksichtigen.

Sicherheitsforscher von Blumira nach sich ziehen herausgefunden, dass Bedrohungsakteure notfalls den RCE-Fehler zusammen mit internen und lokal exponierten Log4j-Anwendungen hoch eine JavaScript-WebSocket-Verkettung bewirken können – welches darauf hindeutet, dass die Angriffsfläche viel größer sein könnte wie zunächst ausgedacht. Unterdessen hat die Apache Foundation in den letzten Tagen ein weiteres Update zur Beseitigung einer dritten Schwachstelle im Logging-Framework veröffentlicht, welches bedeutet, dass Unternehmen ihre Software erneut patchen zu tun sein, um vollwertig vor jener Risiko geschützt zu bleiben.

Laut Blumira können Angreifer den Log4j-RCE-Fehler ausnutzen, während sie Benutzer gen jeden Server versuchen, gen dem JavaScript umgesetzt wird, um eine WebSocket-Verkettung zu initiieren. WebSocket ist ein Kommunikationsprotokoll, dies viele moderne Browser zum Besten von die bidirektionale Kommunikation zwischen Server und Client verwenden. Die Site würde mithilfe von WebSocket Anrufe an dies System oder dies lokale Netzwerk des Benutzers tätigen. Wenn jener Host des Opfers unversperrt ist, muss er hoch LDAP, RMI, DNS, Hypertext Transfer Protocol oder ein anderes Protokoll eine andere von Angreifern kontrollierte Website hereinrufen und bösartiges JavaScript herunterladen, um dies Log4j RCE auszunutzen, sagt Matthew Warner, CTO und Mitbegründer von Blumira.

„Wenn dies Todesopfer eine anfällige Version von Log4j hätte und Anfragen zu angeforderten Pfaden und/oder dem Ursprung dieser Anfragen abmeldete, würde dies die Log4j-JNDI-Suche gen den bösartigen Host bewirken“, sagt Warner. “Es wäre kein zusätzlicher Aufwendung erforderlich.”

Warner sagt, dass Blumiras Wissenschaft zeigt, dass die Auswirkungen von Log4j nicht gen anfällige Server verbohrt sind.

„Jeder mit einem Tätigkeit, jener eine anfällige Log4j-Version gen seinem Computer oder seinem lokalen privaten Netzwerk verwendet, kann eine Website durchsuchen und notfalls die Schwachstelle bewirken“, sagt Warner. Es erweitert die Angriffsfläche erheblich und ist eine weitere Waffe, die Betreiber von Phishing- und böswilligen Werbebetrügereien wahrscheinlich ausnutzen, sagt er.

Jener neue Angriffsvektor sollte Unternehmen, die schon die empfohlenen Behebungsschritte zum Besten von Log4j befolgen, die Chose nicht komplizieren. “Es unterstreicht jedoch, wie wichtig es ist, jedweder lokalen Entwicklungs- und internen Server zu patchen”, sagt Warner.

Drei Schwachstellen – bisher
Log4j ist ein nahezu allgegenwärtiges Protokollierungstool in Java-Umgebungen. Seit dem Zeitpunkt dem 9. Monat des Winterbeginns wurden im Logging-Framework drei einzigartige Schwachstellen mit jeweils unterschiedlichem Schweregrad offengelegt. Die schwerwiegendste ist die kritische RCE-Sicherheitslücke (CVE-2021-44228), die die Apache Foundation am 9. Monat des Winterbeginns offengelegt hat.^. Jener Fehler besteht in einer Java Naming and Directory Interface (JNDI)-Suchfunktion, die standardmäßig in den Versionen Log4j 2.0-beta9 solange bis Log4j 2.14.1 aktiviert ist.

Angreifer können die Prozedur ausnutzen, um die vollständige Fernsteuerung von anfälligen Systemen zu übernehmen, darunter Systeme mit Internetzugriff, interne Systeme, Netzwerkkomponenten, virtuelle Maschinen, industrielle Steuerungs- und SCADA-Systeme sowie Cloud-gehostete Assets.

Die Apache Foundation hat am 10. Monat des Winterbeginns eine aktualisierte Version des Logging-Frameworks (Log4j 2.15.0) zum Besten von Java-8-Benutzer veröffentlicht, um die Sicherheitslücke zu schließen, nachdem Angreifer unter Strom stehend versucht nach sich ziehen, die Schwachstelle auszunutzen.

Am 13. Monat des Winterbeginns folgte dann ein zweites Update (Log4j 2.16.0 zum Besten von Java 8 und Log4j 2.12.2 zum Besten von Java 7), da jener ursprüngliche Im Nu im Wesentlichen dazu führte, dass Systeme zum Besten von Denial-of-Tafelgeschirr (DoS)-Angriffe (CVE) geöffnet wurden 2021-45046) unter bestimmten Bedingungen.

Am 18. Monat des Winterbeginns veröffentlichte die Apache Foundation ein weiteres Update (Log4j 2.17.0 zum Besten von Java 8) zur Beseitigung einer dritten, unendlich rekursiven Schwachstelle in Log4j (CVE-2021-45105), die wie DoS-Angriffe zulässt.

“Unendliche Rekursion ist Kode, jener sich immer wieder selbst aufruft”, sagt Saryu Nayyar, Vorsitzender des Vorstands von Gurucul. “Irgendwann überläuft es den ihm zugewiesenen Speicher und bietet die Möglichkeit, bösartigen Kode äußerlich des definierten Speicherplatzes einzuschleusen.”

Sowohl CVE 2021-45046 wie beiläufig CVE-2021-45105 können nur unter bestimmten Nicht-Standardbedingungen ausgenutzt werden und gelten von dort wie weniger schwerwiegend wie CVE-2021-44228, jener am 9. Monat des Winterbeginns prestigeträchtig gegebene Fehler, jener eine sehr große Zahl von Organisationen betrifft .

Laut Sicherheitsforschern von Google betrifft jener Fehler mehr wie 35.000 Java-Pakete – oder mehr wie 8 % – aller Pakete gen Maven Central, einem jener größten Repositorys zum Besten von Java-Pakete. Die Verbreitung des Fehlers und die relative Leichtigkeit, mit jener er ausgenutzt werden kann, nach sich ziehen in jener Nähe jener Bedrohungsakteure breite Zuwendung gen sich gezogen.

Sicherheitsanbieter nach sich ziehen berichtet, dass zahlreiche pekuniär motivierte Angreifer sowie staatlich unterstützte Bedrohungsgruppen aus Ländern wie dem Persien, VR China und jener Türkei unter Strom stehend versucht nach sich ziehen, den Fehler auszunutzen.

Die Betriebsamkeit veranlasste die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA), am Freitag eine Notfallrichtlinie herauszugeben, in jener jedweder zivilen Bundesbehörden angewiesen wurden, eine Warteschlange von Maßnahmen zu ergreifen, um anfällige Systeme zu identifizieren, zu patchen oder abzuschwächen. Agenturen nach sich ziehen solange bis zum 23. Monat des Winterbeginns Zeit, um die Anforderungen jener Richtlinie zu gerecht werden.

Die neuesten Entwicklungen kommen mitten unter von Indikator hierfür, dass Unternehmen zumindest manche Fortschritte zusammen mit jener Bekämpfung jener Risiko zeugen. Eine Schlusswort des Cloud-Sicherheitsanbieters Wiz zeigt, dass Unternehmen 10 Tage nachdem Bekanntwerden des Fehlers im Durchschnitt etwa 45 % ihrer anfälligen Cloud-Ressourcen gepatcht nach sich ziehen. Jener Provider stellte jedoch verkrampft, dass 45 % jener anfälligen Maschinen gegen die Risiko ungeschützt bleiben. Von diesen Systemen hatten 25 % Administratorrechte und 7 % waren dem Netz ausgesetzt.

Unterdessen zeigte ein Dashboard, dies Sonatype ebendiese Woche veröffentlichte, um Log4j-Downloads zu verfolgen, seitdem dem 10. Monat des Winterbeginns mehr wie 4,6 Mio. Downloads des Logging-Tools Log4j.