Update: Cyberkriminelle nutzen Sicherheitslücke Log4Shell weiterhin aus
Trotz der Veröffentlichung entsprechender Patches, zielen Cyberkriminelle noch immer auf die Log4Shell-Sicherheitslücke ab. Kaspersky-Produkte sollen in den ersten drei Januarwochen 30'562 Angriffsversuche blockiert haben.
Update vom 31.01.2022: Cyberkriminelle nutzen die Schwachstelle Log4Shell auch nach der Veröffentlichung entsprechender Patches noch immer aus. Zu diesem Schluss kommt das Softwareunternehmen Kaspersky. Die Produkte des Unternehmens hätten in den ersten drei Januarwochen 30'562 solcher Angriffsversuche blockiert, teilt das Unternehmen mit. Die Schwachstelle sei für Cyberkriminelle sehr attraktiv, da sie leicht auszunutzen sei. Zudem könne man so die vollständige Kontrolle über das System des Opfers erlangen.
Seit der Erstmeldung im Dezember 2021 blockierten Kaspersky-Produkte 154'098 Versuche. Die meisten angegriffenen Systeme befanden sich in Russland (13 Prozent), Brasilien (8,97 Prozent) und den USA (7,36 Prozent). 3,87 Prozent der Systeme waren in Deutschland, 0,39 Prozent in der Schweiz und 0,29 Prozent in Österreich.
"Wir sehen, dass es mit Log4Shell inzwischen weniger Scans und Angriffsversuche gibt als in den ersten Wochen direkt nach der Entdeckung", sagt Evgeny Lopatin, Sicherheitsexperte bei Kaspersky. "Allerdings werden nach wie vor Versuche unternommen, diese Schwachstelle auszunutzen. Unsere Telemetrie zeigt, dass Cyberkriminelle ihre umfangreichen Massenscanning-Aktivitäten fortsetzen und versuchen, den Exploit auszunutzen. Die Schwachstelle wird sowohl von fortgeschrittenen Bedrohungsakteuren genutzt, die auf bestimmte Organisationen abzielen, als auch von Opportunisten, die einfach nach anfälligen Systemen suchen, die sie angreifen können. Wir fordern alle, die dies noch nicht getan haben, dringend auf, Patches zu installieren und eine starke Sicherheitslösung zu verwenden, um sich zu schützen."
Kaspersky empfiehlt zum Schutz vor einer Ausnutzung die neuste Version der Bibliothek 2.15.0 zu installieren. Wird die Bibliothek in einem Drittprodukt verwendet, sollten Nutzende vorhandene Updates umgehend installieren. Weiter sollten Betroffene die Apache-Log4j-Projektrichtlinien befolgen.
Update vom 15. Dezember 2021:
Entwickler stopfen Log4Shell-Sicherheitslücke mit aktualisierter Java-Bibliothek
Die Entwickler von Log4j haben abermals eine aktualisierte Version der Java-Bibliothek veröffentlicht. Aktuell steht auf der Download-Seite Version 2.16.0 zur Verfügung. Darin sei der Code entfernt worden, der Nachrichten in den Logs mit den fatalen URL-Einträgen zu potenziell bösartigen LDAP-Servern analysiert, berichtet "Heise". Zudem sei eine weitere Schwachstelle mit niedrigem Gefahrenpotenzial ausgebessert worden. Erkenntnisse zu möglichen Nebenwirkungen des Updates lägen keine vor, heisst es bei Heise.
Derweil informiert "Golem" darüber, dass gängige Smartphones und Tablets nicht von der Blog4Shell-Sicherheitslücke betroffen seien: Denn die Software für iPhones und iPads sei nicht in Java geschrieben. Ebenfalls sei bei den Java-Versionen im Betriebssystem Android kein JNDI-Paket enthalten, was Angriffe über die Lücke in Log4J unmöglich mache. Dennoch seien Geräte von Privatkunden angreifbar, darunter Notebooks, Router sowie eine Menge IoT-Gadgets.
Originalmeldung vom 14. Dezember 2021:
Die wichtigsten Massnahmen gegen die schwerwiegende Log4Shell-Sicherheitslücke
Seit wenigen Tagen warnen Cybersecurity-Teams weltweit vor einer schwerwiegenden Sicherheitslücke in der Java-Bibliothek Log4j. Durch die Schwachstelle, die oft Log4Shell genannt wird, sind zahlreiche Systeme und Apps angreifbar geworden. Insbesondere Systemadministratoren sollten so rasch wie möglich Massnahmen ergreifen, um ihre Server zu schützen.
Patches installieren
Dabei gilt es zunächst, die installierte Software auf den neuesten Stand zu bringen. "Heise Security" empfiehlt, bei den jeweiligen Softwareherstellern nachzufragen, inwiefern deren Produkte betroffen, und ob Updates verfügbar sind.
Entwicklerinnen und Entwickler, die selber die Log4j-Bibliothek einsetzen, sollten diese auf die abgesicherte Version 2.15.0 aktualisieren. Der entsprechende Patch ist seit dem 6. Dezember verfügbar, berichtet "SecurityWeek".
Verwundbare Dienste finden
Systemadministratoren können zudem ihre Systeme selber nach gefährdeten Diensten absuchen. Dazu empfiehlt Heise Security etwa den log4j-Detector, der Java-Programme gezielt durchsucht. Anfällig seien dabei alle Log4j-Versionen von 2.0-beta9 bis 2.14.1, heisst es bei Heise Security.
Zudem empfiehlt das Portal den Dienst CanaryTokens, um selbst auf Log4Shell-Anfälligkeit zu testen. Natürlich können Systemadministratoren Dienste auch selbst gezielt testen. Dazu müsse man einen anfälligen String an die installierten Dienste verteilen. "Das Problem ist, dass man in der Regel kein direkt sichtbares Feedback bekommt, ob etwa beim Aufruf einer Web-Seite Log4Shell bereits zugeschlagen hat", räumt Heise Security ein.
Systeme weiter absichern
Um ihr Unternehmen weiter vor Log4Shell-Angriffen zu schützen, sollten Systemadministratoren ihre Server zudem weiter absichern. "Solange man sich nicht sicher ist, dass die eigene Infrastruktur safe ist, sollte man zumindest die Angriffsfläche weit möglichst reduzieren", schreibt Heise Security dazu. Zu den empfohlenen Massnahmen gehören Zugangsbeschränkungen, Segmentierung von Netzwerken, das Reduzieren von Rechten oder das Beschränken ausgehender Verbindungen.
Dienste, die für Log4Shell anfällig sind, kann man konkret durch Setzen der Variable log4j2.formatMsgNoLookups auf true sichern. Dies funktioniere aber erst ab Log4j-Version 2.10, heisst es im Bericht. Bei älteren Versionen könne man die Klasse JndiLookup entfernen. Weitere Schutzmassnahmen nennt auch das Swiss Government Computer Emergency Response Team (Govcert) in einem Blogbeitrag.
SecurityWeek verweist darüber hinaus auf produktspezifische Informationen zahlreicher Hersteller, darunter Microsoft Azure, VMware sowie Cisco. Zudem gibt es bereits eine grosse Menge an Tools, um anfällige Dienste aufzuspüren und abzusichern, darunter eines von Huntress.
Wachsam bleiben
Trotz dieser zahlreichen Schutzmassnahmen geben sich manche Cybersecurity-Spezialisten pessimistisch. Ransomware-Angriffe über Log4j seien eine echte Bedrohung, schreibt Heise Security, und das Problem werde die IT noch über Wochen oder Monate beschäftigen.
Derweil berichten Cisco, Microsoft, Bitdefender und viele weitere Unternehmen davon, bösartige Angriffe auf die Schwachstelle beobachtet zu haben. Für Systemadministratoren heisst dies, dass sie in den kommenden Tagen besonders aufmerksam sein und auf verdächtige Aktivitäten umgehend reagieren sollten.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.