Der Log4J-Patch zur Behebung schwerwiegender Zero-Day-Probleme hat eine eigene Schwachstelle, die bereits aktiv ausgenutzt wird
Facepalm: Die Log4J-Exploits, die Serveradministratoren in der vergangenen Woche geplagt haben, gehen weiter, da der Patch, der herausgegeben wurde, um die Eindringlinge zu blockieren, anscheinend eigene Sicherheitslücken aufweist. Einige Unternehmen, die bereits auf Log4J 2.15.0 aktualisiert hatten, litten weiterhin unter Angriffen von mindestens einer der zwei neu gefundenen Schwachstellen.
Letzte Woche haben Sicherheitsforscher Entwickler darüber informiert, dass sie eine aktiv ausgenutzte Zero-Day-Schwachstelle im Apache-Struts-Framework entdeckt haben. Der Fehler lag im Log4J-Protokollierungsdienstprogramm. Die Apache Foundation hat mit Version 2.15.0 einen Fix herausgegeben und die Schwachstelle am Wochenende öffentlich gemacht.
In den 72 Stunden nach der Veröffentlichung des Updates stieg die Ausnutzung des Fehlers sprunghaft an, wobei die Forscher bis zu 100 Angriffe pro Minute und fast eine Million Vorfälle insgesamt verfolgten. Große Firmen, darunter Apple, Amazon, Cisco und andere, bemühten sich, das Loch zu flicken.
Fast so schnell, wie die Systeme Log4J 2.15.0 installierten, begannen die Sicherheitsunternehmen Praetorian und Cloudflare, aktive Angriffe in den gepatchten Systemen zu beobachten. Forscher haben mindestens zwei Exploits in einer neuen Schwachstelle identifiziert, die als CVE-2021-45046 verfolgt wird.
Eine Schwachstelle, die am Dienstag entdeckt wurde, ermöglichte es Hackern, DDoS-Angriffe durchzuführen, indem sie „Nachrichtensuchmuster” und „JNDI-Funktionalität” manipulierten. Apache hat diese nun standardmäßig in Log4J 2.16.0 deaktiviert .
Dann, am Mittwoch, fanden Analysten von Praetorian einen weiteren Exploit, der es Hackern ermöglichen würde, Daten von anfälligen Servern zu exfiltrieren. Praetorian hat ein Proof-of-Concept-Video gepostet, das die Exfiltration auf Log4J 2.15.0 (oben) demonstriert . Update 2.16.0 kümmert sich auch darum.
„In unseren Recherchen haben wir gezeigt, dass 2.15.0 unter bestimmten Umständen immer noch die Exfiltration sensibler Daten ermöglichen kann”, bemerkte Praetorian in einer Warnung, sofort zu aktualisieren. "Wir haben die technischen Details des Problems an die Apache Foundation weitergeleitet, aber in der Zwischenzeit empfehlen wir unseren Kunden dringend, so schnell wie möglich auf 2.16.0 zu aktualisieren."
Das Sicherheitsunternehmen Cloudflare sagte am Mittwoch, dass es CVE- 2021-45046 verfolgt und bereits gesehen hat, dass der Fehler aktiv ausgenutzt wird, erwähnte jedoch nicht, ob es sich bei den Angriffen um DDoS, Datenexfiltration oder beides handelte. Auch sie empfiehlt Systemadministratoren, so schnell wie möglich auf Log4J 2.16.0 zu aktualisieren .
Beide Unternehmen halten technische Details der Exploits unter Verschluss, während Mitarbeiter der Industrie ihre Systeme aktualisieren.