Viele Java-basierte Anwendungen und Server sind anfällig für den neuen Log4Shell-Exploit

16

Warum es wichtig ist: Anfang dieser Woche entdeckten Entwickler der Open-Source-Sicherheitsplattform LunaSec eine Zero-Day-Schwachstelle, die eine weit verbreitete Java-basierte Protokollierungsbibliothek betrifft. Die Schwachstelle, die in einem Blogbeitrag als Log4Shell (CVE-2021-44228) identifiziert wurde, kann Dritten die Möglichkeit geben, Schadcode auf anfälligen Systemen auszuführen.

Die Entdeckung der Schwachstelle wird den Forschern von LunaSec und Chen Zhaojun von Alibaba Cloud Security zugeschrieben. Es nutzt ein weit verbreitetes Apache-basiertes Protokollierungsdienstprogramm, log4j, um Serverdaten mit schädlichen Payloads zu protokollieren, die eine Reihe von Aktionen auslösen, um eine sekundäre Payload einzuschleusen. Die sekundäre Nutzlast ermöglicht die Remote-Ausführung von Code auf dem betroffenen System.

Forscher, die für die Identifizierung der Schwachstelle verantwortlich sind, die ursprünglich auf Minecraft-Servern entdeckt wurde, glauben, dass Hunderttausende von Unternehmen und Systemen aufgrund der weit verbreiteten Nutzung des Apache-basierten Protokollierungsdienstes gefährdet sein könnten. Analysten haben bereits mehrere große Unternehmen und Dienste als anfällig identifiziert, darunter Amazon, Apple, Elastic, Steam, Tencent und Twitter. Der Cybersicherheitsdirektor der National Security Agency, Robert Joyce, bestätigte auch, dass GHIDRA, das Open-Source-Reverse-Engineering-Tool der Agentur, ebenfalls betroffen war.

LunaSec stellt fest, dass jeder, der das Apache Struts – Framework verwendet, wahrscheinlich anfällig ist. Ein späteres Update erweiterte die Aussage und zeigte an, dass JDK-Versionen größer als 6u211, 7u201, 8u191 und 11.01 nicht von dem LDAP-basierten Vektor des Angriffs betroffen sind. Dies bedeutet jedoch nicht, dass spätere Versionen vollständig immun sind, da alternative Angriffsvektoren immer noch verwendet werden können, um die Log4Shell-Schwachstelle auszunutzen, um die Remotecodeausführung zu initiieren.

Das Ergebnis von LunaSec und das daraus resultierende CVE bieten betroffenen Systemen vorübergehende und dauerhafte Abhilfemaßnahmen, um sicherzustellen, dass der Exploit ihre Server und Operationen nicht negativ beeinflusst. Eine aktualisierte Version des log4j-Dienstes, v2.15.0, hat den Exploit behoben und steht zum Download zur Verfügung. Für Organisationen, die ihren log4j-Dienst derzeit nicht aktualisieren können, wurde im CVE auch eine vorübergehende Minderung bereitgestellt .

Bildnachweis: Markus Spiske

Aufnahmequelle: techspot.com

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern. Wir gehen davon aus, dass Sie damit einverstanden sind, Sie können sich jedoch abmelden, wenn Sie möchten. Annehmen Weiterlesen