Sicherheitsexperten verkloppen Alarmruf am Zero-Day im weit verbreiteten Log4j-Tool

Sicherheitsexperten verkloppen in Log4j, einem in Java-Software allgegenwärtigen Protokollierungs-Framework, dies Gleichartig eines Fünf-Alarmruf-Feuers gen eine kritische neue Zero-Day-Sicherheitslücke.

Dieser Fehler (CVE-2021-44228) könnte es Angreifern aus dieser Ferne zuteilen, beliebigen Kennung gen jeder Ergreifung auszuführen, die Log4j verwendet und schon quirlig ausgenutzt wird. Manche Lieferant nach sich ziehen Massenscanaktivitäten – vermutlich von Bedrohungsakteuren – pro anfällige Anwendungen beobachtet, und es gibt manche Berichte jenseits Exploit-Aktivitäten gegen Unternehmen. Angriffe gegen den Fehler erfordern wenig Geschicklichkeit und werden durch Proof-of-Concept-Kennung in freier Wildbahn angeheizt.

„Dies ist ein Worst-Case-Szenario“, warnt Casey Ellis, Gründer und CTO dieser Schwarmauslagerung-Plattform zur Offenlegung von Sicherheitslücken Bugcrowd. Dazu sorgt die Verknüpfung aus dieser allgegenwärtigen Verwendung von Log4j in Software und Plattformen, den zahlreichen verfügbaren Pfaden, um die Schwachstelle auszunutzen, den Abhängigkeiten, die ein Patchen verschlimmern, ohne andere Pipapo zu kaputt machen, und dieser Tatsache, dass dieser Exploit selbst in zusammenführen Tweet passt. er sagt.

„Zu Händen viele wird es ein langes Wochenende“, sagt Ellis.

Dieser Fehler betrifft aus Versionen von Log4j, von 2.0-beta9 solange bis 2.14.1. Die Apache Foundation hat ihr zusammenführen maximalen Schweregrad von 10 zugewiesen und eine aktualisierte Version dieser Software (Log4j 2.15.0) veröffentlicht, die dies Problem behebt. Die Stiftung hat außerdem eine Risikominderungsmaßnahme pro Log4j-Versionen 2.10 und höher veröffentlicht, die Unternehmen implementieren können, um sich jenseits die Schwachstelle vor Remotecodeausführung zu schützen.

In einem am Freitag veröffentlichten Weblog beschrieb Sonatype den neuen Log4j-Fehler qua noch schlimmer qua die berüchtigte Sicherheitslücke zusammen mit dieser Remote-Codeausführung von 2017 in Apache Struts (CVE-2017-5638), die die Hauptursache pro den massiven Verstoß zusammen mit Equifax war. Mit diesem Fehler dauerte es weniger qua zwei Tage, solange bis Angreifer begannen, Organisationen gen dieser ganzen Welt auszunutzen.

Die neu aufgedeckte Sicherheitslücke ist potenziell weitreichender qua die Struts-Sicherheitslücke, da Log4j weitaus häufiger verwendet wird, sagte Sonatype.

„Die Auswirkungen sind vergleichbar mit früheren Struts-Schwachstellen, wie derjenigen, die Equifax betraf, da die Angriffe aus dieser Ferne, unbekannt und ohne Anmeldeinformationen durchgeführt werden können und zu einem Remote-Exploit resultieren“, sagte Brian Fox, CTO von Sonatype, in einer per elektronische Post gesendeten Hinweistext. „Die Verknüpfung aus Umfang und potenziellen Auswirkungen unterscheidet sich hier von allen früheren Sicherheitslücken in Komponenten, an die ich mich ohne weiteres erinnern kann.“

Genauso dies Reverse-Engineering-Tool GHIDRA dieser NSA ist nicht widerstandsfähig gegen die Risiko. In einem twittern teilte dieser NSA-Rektor des Cybersecurity Directorate am Freitag mit, dass die Log4j-Sicherheitslücke aufgrund ihrer weit verbreiteten Einbeziehung in Software-Frameworks, einschließlich GHIDRA, eine erhebliche Risiko pro die Verwertung darstelle.

„Dies ist eine Fallstudie, warum die Konzepte dieser Software-Stückliste (SBOM) so wichtig sind, um die Gefährdung zu verstehen“, schrieb dieser Rektor pro Cybersicherheit dieser NSA, Rob Joyce.

Die Apache Foundation sagt, dass die Schwachstelle mit einem Fehler durch bestimmte Funktionen im Java Naming and Directory Interface (JNDI) verbunden ist – dies in Konfiguration, Protokollnachrichten und Parametern verwendet wird – zum Sicherheit vor Angreifer-Controller-LDAP-Servern und anderen Endpunkten. Infolgedessen kann ein Angreifer, dieser Protokollnachrichten oder Protokollnachrichtenparameter kontrollieren kann, bösartigen Kennung präzisieren, dieser von LDAP-Servern geladen wird, wenn ein bestimmtes Nachrichtensuchverhalten aktiviert ist. Die aktualisierte Version von Log4j hat dieses Verhalten standardmäßig deaktiviert.

Chris Morgan, Threat-Intelligence-Problemanalytiker zusammen mit Digital Shadows, sagt, dass die Schwachstelle ein extrem hohes Risiko darstellt.

„Uff hoher Lage ermöglicht dieser Fehler einem Angreifer, eine bösartige Nutzlast zu liefern [and] nutzen die Nutzlast, um die Schwachstelle auszulösen, die dann eine zweite Stufe des Angriffs injiziert, um beliebigen Kennung auszuführen”, sagt er.

Dank des Ausmaßes dieser betroffenen Geräte und dieser Ausnutzbarkeit des Fehlers ist es sehr wahrscheinlich, dass er sowohl zusammen mit Cyberkriminellen qua wiewohl zusammen mit nationalstaatlichen Akteuren erhebliche Beachtung gen sich ziehen wird.

“Unternehmen wird empfohlen, gen Version 2.15.0 zu auf den neuesten Stand bringen und die Protokolle von anfälligen Anwendungen zusätzlich zu beaufsichtigen”, sagt Morgan.

Laut Arshan Dabirsiaghi, Mitbegründer und leitender Wissenschaftler von Contrast Security, ist dies neu gemeldete Problem in Log4j die größte Java-Sicherheitslücke seit dem Zeitpunkt Jahren. Unternehmen sollen die potenziellen Auswirkungen des Fehlers gen ihre Umgebung wertschätzen und übermächtig, wie die Risiko abgeschwächt werden kann. Er schätzt die Schwachstelle qua leichtgewichtig auszunutzen ein, zumal Videos und Proof-of-Concept-Kennung schon publik verfügbar sind.

Zu Händen Unternehmen ist die Schwachstelle simpel genug, um jeweils eine App zu verringern, dessen ungeachtet es ist erheblich schwieriger, dies in großem Skala zu tun.

“Unternehmen benötigen eine Live-Unterstellung ihrer Abhängigkeiten, die von ihrem Anwendungsportfolio tatsächlich genutzt werden”, sagt Dabirsiaghi. “Im Zuge dessen können sie zwei Pipapo tun: die jeweiligen Entwickler, die die problematische Bibliothek verwenden, benachrichtigen und ihren Fortschritt daran messen, sie aus ihrer Organisation zu explantieren.”