{"id":1219,"date":"2022-02-02T14:08:24","date_gmt":"2022-02-02T13:08:24","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=1219"},"modified":"2022-02-02T14:08:25","modified_gmt":"2022-02-02T13:08:25","slug":"die-log4j-sicherheitsluecke-die-ganze-geschichte","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1219&lang=de","title":{"rendered":"Die Log4J Sicherheitsl\u00fccke \u2013 die ganze Geschichte!"},"content":{"rendered":"\n<p><strong>Eine der gravierendsten Sicherheitsl\u00fccken seit Bestehen des Internets<br>&nbsp;<\/strong><br>Log4Shell nennt sich eine Schwachstelle in der weit verbreiteten Log4j Protokollierungsbibliothek, die im Grunde seit Jahren besteht, aber bisher noch nie aufgefallen war. Am 24. November 2021 wurde die Problematik vom Alibaba-Cloud-Sicherheitsdienst aufgedeckt und gemeldet. Einen best\u00e4tigten Angriff gab es am 09. Dezember 2021 auf das Spiel \u201eMinecraft\u201c.<br><br>Durch Log4Shell kann auf dem Zielsystem eigener Programmcode ausgef\u00fchrt werden, wodurch das angegriffene System kompromittiert wird. Hacker k\u00f6nnen dabei Daten von Servern abflie\u00dfen oder beliebige Codes ausf\u00fchren lassen. Interne Netzwerke k\u00f6nnen damit ausgesp\u00e4ht oder Daten auf dem Server ver\u00e4ndert werden.<br><br><strong>Wie muss man sich die Sicherheitsl\u00fccke vorstellen?<\/strong><br><br>Log4J ist sehr komplex und deutlich mehr als eine Blackbox, die Vorg\u00e4nge aufzeichnet. Anfragen von au\u00dferhalb werden nicht ausschlie\u00dflich in eine Log-Datei geschrieben, sondern interpretiert und genau hier liegt das Problem. Es gibt Java-Programmen unter anderem Zugriff auf Verzeichnisdienste. JNDI greift u.a. auf Referenzen von entfernten Rechnern zu, was insofern problematisch ist, als dass sich dahinter ein Angreifer verbergen k\u00f6nnte, der sich Zugang zum System erschleichen will. JNDI steht f\u00fcr \u201cJava Naming and Directory Interface\u201d.<br><br>F\u00fcr die Sicherheitsl\u00fccke hei\u00dft das: Log4Shell \u2013 praktisch der Zugriff auf das gesamte System \u2013 kann ausgel\u00f6st werden, wenn Log4J einen Befehl von au\u00dfen f\u00fcr das JNDI erh\u00e4lt:<\/p>\n\n\n\n<ol><li>Ein Angreifer \u00fcbermittelt Daten an den Server, den er attackieren will<\/li><li>Log4j nimmt den Vorgang in eine Logdatei auf<\/li><li>Triggern die Daten JNDI, sendet Log4j eine Anfrage an die Website des Angreifers<\/li><li>Jetzt verschafft sich der Angreifer Zutritt<\/li><li>Die Webseite antwortet auf die Anfrage und schleust Schadcode ein<\/li><li>Dieser kann erst einmal \u201eruhen\u201c, bis er aktiviert wird<\/li><\/ol>\n\n\n\n<p><strong>Die Gesch\u00e4ftsmodelle werden gef\u00e4hrlicher<\/strong><br>Zun\u00e4chst handelte es sich meist um manuelle Test Angriffe und Scans von IT-Sicherheitsforschern. Es folgten automatisierte Versuche, die Sicherheitsl\u00fccke auszunutzen.&nbsp;<br>Zwischenzeitlich haben aber Cybercrime und Geheimdienste die L\u00fccke gezielt f\u00fcr ihre Zwecke entdeckt: sog. \u201eMirai-Botnet-Drohnen\u201c befallen dabei Wurm-artig verwundbare Server und verbreiten sich dort automatisch weiter. Durch die Log4J-L\u00fccke gelingt es sich initiale Zug\u00e4nge zu Netzwerken zu erm\u00f6glichen. Diese Zug\u00e4nge k\u00f6nnen \u2013 evtl. sp\u00e4ter erst &#8211; anderen Gruppen angeboten\/verkauft werden, die diese f\u00fcr ihre Zwecke nutzen.&nbsp;<br><br><strong>Was ist zu tun?<\/strong><br><br>Auch wenn es nicht einfach nachzuvollziehen ist, in welchen Programmen Log4J eine Rolle spielt und ob ein System tats\u00e4chlich korrumpiert wurde, so sollten alle Dienste bei welchen man diesbez\u00fcglich unsicher ist zun\u00e4chst \u201eabgeschaltet\u201c werden.<br><br>Im&nbsp;<a href=\"https:\/\/t5baa4d95.emailsys1a.net\/c\/107\/4940975\/4221\/0\/11200275\/445\/311619\/51878fb5cd.html\">github-Repository der CISA<\/a>&nbsp;findet sich eine Liste verwundbarer Systeme und Anwendungen, die dort mit ihrem jeweiligen Status \u201everwundbar\u201c, \u201ein Untersuchung\u201c, \u201enicht betroffen\u201c und einem Link auf die entsprechenden Hersteller-Sicherheitsmeldungen enthalten sind.<br><br>F\u00fcr IT-Verantwortliche kann dies einen ersten \u00dcberblick dar\u00fcber bieten, ob im Unternehmen verwundbare Systeme eingesetzt werden.<br><br>Hersteller und Entwickler arbeiten aber auch mit Hochdruck an Updates und Patches, welche unmittelbar eingespielt werden sollten, sobald diese vorliegen.&nbsp;<br><br>Das JNDI-Lookup im neuesten Update zu Log4j wurde so bereits deaktiviert und auch die Version 2.17.0 der Log4j-Bibliothek nachgeschoben. Sie schlie\u00dft eine weitere Sicherheitsl\u00fccke mit hohem Risiko (CVE-2021-45105, CVSS 7.5). Administratoren und IT-Verantwortliche sollten in jedem Fall nicht z\u00f6gern und die neue Log4J-Version z\u00fcgig installieren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine der gravierendsten Sicherheitsl\u00fccken seit Bestehen des Internets&nbsp;Log4Shell nennt sich eine Schwachstelle in der weit verbreiteten Log4j Protokollierungsbibliothek, die im Grunde seit<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=1219&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1219"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1219"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1219\/revisions"}],"predecessor-version":[{"id":1220,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1219\/revisions\/1220"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1219"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1219"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1219"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}