Now Reading
Ursprünglicher Rapid zu Gunsten von Log4j-Fehler schützt nicht vollwertig vor DoS-Angriffen und Datendiebstahl

Ursprünglicher Rapid zu Gunsten von Log4j-Fehler schützt nicht vollwertig vor DoS-Angriffen und Datendiebstahl

Ursprünglicher Fix für Log4j-Fehler schützt nicht vollständig vor DoS-Angriffen und Datendiebstahl


Sicherheitsexperten fordern Unternehmen nun höchste Eisenbahn hinaus, schnell hinaus eine neue Version des Log4j-Logging-Frameworks zu updaten, dasjenige die Apache Foundation am zweiter Tag der Woche veröffentlicht hat, da dieser ursprüngliche Rapid zu Gunsten von zusammensetzen kritischen Fehler zusammen mit dieser Remote-Geheimzeichen-Erklärung im Logging-Tool in einigen Situationen nicht hinreichend vor Angriffen schützt.

Laut dieser Apache Foundation ist die Apache Log4j 2.15.0-Version, die letzte Woche zur Beseitigung des Log4j-Fehlers (CVE-2021-44228) veröffentlicht wurde, „in bestimmten nicht standardmäßigen Konfigurationen unvollständig“ und bietet Bedrohungsakteuren die Möglichkeit, eine Einspruch auszulösen -of-Tafelgeschirr (DoS)-Übergriff hinaus verwundbare Systeme.

„Befolgen Sie, dass frühere Abschwächungen, die eine Konfiguration daherkommen, wie dasjenige Festlegen dieser Systemeigenschaft log4j2.noFormatMsgLookup hinaus true, jene spezielle Schwachstelle NICHT mindern“, sagte die Apache Foundation.

Die Stiftung hat dem Problem eine neue Schwachstellenkennung (CVE 2021-45046) zugewiesen und eine neue Version (Apache Log4j 2.16.0) des Tools veröffentlicht, die dasjenige DoS-Problem behebt.

Unterdessen sagte dieser Sicherheitsanbieter Praetorian, dieser qua einer dieser ersten den Log4j-Fehler letzten Freitag ausnutzte, heute, dass die Log4j 2.15.0-Version von vorhergehender Woche im gleichen Sinne zu Gunsten von ein weiteres Problem unstet sei: die Exfiltration von Fakten unter bestimmten Bedingungen.

Praetorian teilte die technischen Feinheiten dieser Untersuchung nicht mit und sagte, dass dasjenige Unternehmen seine Ergebnisse an die Apache Foundation weitergegeben habe.

“In dieser Zwischenzeit empfehlen wir Kunden höchste Eisenbahn, so schnell wie möglich hinaus 2.16.0 zu updaten”, sagte Nathan Sportsman, Geschäftsführer von Praetorian, in einem heute Nachmittag veröffentlichten Weblog.

Anthony Weems, leitender Forscher zusammen mit Praetorian, sagt, dass die Erläuterung dieser Apache Foundation zusätzlich die Version Log4j 2.15.0, die JNDI-LDAP-Lookups standardmäßig hinaus localhost unverbesserlich, falsch ist.

“Wir nach sich ziehen eine Umgehungsstraße zu Gunsten von jene Localhost-Einschränkung, die bedeutet, dass Sie exfiltrieren können, wenn ein Host von CVE-2021-45046 betroffen ist [environment variables] zusätzlich DNS”, sagt Weems.

Die neuen Entwicklungen bedeuten, dass Organisationen, die Log4j 2.15.0 schon heruntergeladen nach sich ziehen, um den ursprünglichen Fehler (CVE-2021-44228) zu beheben, jetzt Version 2.16.0 implementieren zu tun sein, um dasjenige mit CVE-2021-4506 verbundene DoS-Problem zu mildern.

„Wenn der gerne Süßigkeiten isst ein Netzwerk oder eine Gebrauch verfügt und Log4j hinaus 2.15 patchen muss, muss er jetzt hinaus 2.16 updaten“, sagt Vikram Thakur, Technical Director zusammen mit Symantec, einem Geschäftsbereich von Broadcom Software.

Sicherheitsexperten nach sich ziehen den Fehler in Log4j aufgrund seines breiten Anwendungsbereichs und seiner einfachen Ausnutzbarkeit qua zusammensetzen dieser schlimmsten in dieser jüngsten Vergangenheit beschrieben. So gut wie leer Java-Anwendungen verwenden dasjenige Logging-Tool, sodass die Schwachstelle weitestgehend überall vorhanden ist, wo eine Java-App verwendet wird.

“Es wird oft qua Standard-Log-Handler in Enterprise-Java-Anwendungen verwendet und ist oft qua Abhängigkeitskomponente in anderen Java-Projekten enthalten (einschließlich in zusätzlich 470.000 anderen Open-Source-Projekten)”, sagte ShadowServer jene Woche. Dasjenige Logging-Tool ist in weitestgehend allen Software-as-a-Tafelgeschirr- und Cloud-Tafelgeschirr-Provider-Umgebungen sowie in internetbasierten und internen Systemen vorhanden.

Eine Fazit von Sonatype Herkunft dieser Woche ergab mehr qua 28,6 Mio. Downloads von Log4j in den letzten vier Monaten.

Wachsende Angriffsaktivität
Angreifer – darunter eine wachsende Zahl fortgeschrittener, hartnäckiger Bedrohungsgruppen aus dem Persien, Nordkorea und dieser Türkei – nach sich ziehen vorhersehbar versucht, den Fehler von dem Moment an, qua er zum ersten Mal prestigevoll wurde, auszunutzen. Microsoft sagte am zweiter Tag der Woche, seine Forscher hätten beobachtet, wie dieser iranische Bedrohungsakteur Phosphorous zusammensetzen Exploit zu Gunsten von Log4j erwarb und Änderungen daran vornahm, vermutlich in Zubereitung hinaus Angriffe, die hinaus den Fehler abzielen. Hf, die in Reich der Mitte ansässige Horde, die hinter zahlreichen Zero-Day-Angriffen hinaus die ProxyLogon-Fehler in Exchange Server steckt, hat damit begonnen, Log4j zu verwenden, um hinaus die Virtualisierungsinfrastruktur abzuzielen, sagte Microsoft.

Andere nach sich ziehen beschrieben, dass Bedrohungsakteure hinaus den Fehler abzielen, Kryptowährungs-Coin-Miner, Remote-Access-Trojanisches Pferd, Ransomware und Web-Shells zu Gunsten von eine zukünftige Ausbeutung zu verteilen.

Welcher Edge-Cloud-Dienstleister Fastly, dieser die Risiko verfolgt hat, sagte am Mittwoch, er habe beobachtet, wie Angreifer in großem Umfang hinaus den Fehler abzielen. Viele nach sich ziehen damit begonnen, Wege zu finden, um Abhilfemaßnahmen zu Gunsten von den Fehler zu umgehen. Denn Paradebeispiel verwies Fastly hinaus Angreifer, die verschachtelte Anweisungen verwenden, um es Verteidigern zu verschlimmern, einfache Schalten zur Erkennung eines Angriffs zu erstellen. Es gibt im gleichen Sinne eine wachsende Zahl von Angriffen, zusammen mit denen Bedrohungsakteure versuchen, Fakten zu extrahieren, z. B. AWS-Zugriffsschlüssel, AWS-Sitzungstoken und Feinheiten zur Betriebssystemversion. Tatsächlich betrafen 35 % dieser von Fastly beobachteten Angriffe Versuche, Fakten zu stehlen.

“Die zusammen mit Log4j-Angriffen verwendeten verschachtelten Vorlagen geben es Angreifern, sowohl die enthaltenen Zeichenfolgen zu verschleiern qua im gleichen Sinne zu versuchen, Informationen zu stehlen”, sagt Mike Benjamin, Vice President of Security Research zusammen mit Fastly.

Die Verschleierung erschwert es Verteidigern, ohne Fehlalarme zu blockieren oder zu alarmieren, sagt er.

“Beim Entwendung von Informationen zu tun sein Verteidiger hinaus Umgebungsvariablen oder andere Informationen akzeptieren, die dieser Java-Laufzeitumgebung zur Verfügung stillstehen und von einem Angreifer gestohlen werden könnten”, erklärt Benjamin.

Fastly stellte außerdem unverzagt, dass 91 % dieser eindeutigen Rückrufe – oder Reagieren von anfälligen Computern hinaus Angreifer-Scans – hinaus vier Websites verweisen, die größtenteils mit bekannten Sicherheitstools in Vernetzung gebracht werden, die manchmal zu Gunsten von legitime Zwecke verwendet werden, wie zum Paradebeispiel Pen-Tests.

„Penetrationstester und Programmfehler-Bounty-Forscher nutzen jene Tools oft, um Out-of-Bd.-Callbacks durchzuführen“, sagt Benjamin. “Sie werden zu einem einfachen Ort, um Nutzlasten bereitzustellen und gegen potenziell anfällige Dienste zu testen.”

What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top