Log4Shell, eine Internet-Schwachstelle, die Millionen von Computern betrifft, beinhaltet eine obskure, aber fast allgegenwärtige Software, Log4j. Die Software wird verwendet, um alle Arten von Aktivitäten aufzuzeichnen, die unter der Haube in einer Vielzahl von Computersystemen stattfinden.
Jen Easterly, Direktorin der US-amerikanischen Cybersecurity & Infrastructure Security Agency, bezeichnete Log4Shell als die schwerwiegendste Schwachstelle, die sie in ihr gesehen hat Werdegang. Es gab bereits Hunderttausende, vielleicht sogar Millionen Versuche, die Schwachstelle auszunutzen.
Was ist also dieses bescheidene Stück Internet-Infrastruktur, wie können Hacker es ausnutzen und welche Art von Chaos könnte die Folge sein? ?
Was macht Log4j?
Log4j zeichnet Ereignisse auf – Fehler und routinemäßige Systemvorgänge – und übermittelt Diagnosemeldungen darüber an Systemadministratoren und Benutzer. Es handelt sich um Open-Source-Software der Apache Software Foundation.
Ein häufiges Beispiel für Log4j bei der Arbeit ist, wenn Sie einen fehlerhaften Weblink eingeben oder darauf klicken und eine 404-Fehlermeldung erhalten. Der Webserver, auf dem die Domäne des Weblinks läuft, zu dem Sie versucht haben, zu gelangen, teilt Ihnen mit, dass es keine solche Webseite gibt. Es zeichnet dieses Ereignis auch in einem Protokoll für die Systemadministratoren des Servers auf, die Log4j verwenden.
Ähnliche Diagnosemeldungen werden in allen Softwareanwendungen verwendet. Im Online-Spiel Minecraft wird Log4j beispielsweise vom Server verwendet, um Aktivitäten wie den gesamten verwendeten Speicher und die in die Konsole eingegebenen Benutzerbefehle zu protokollieren.
Wie funktioniert Log4Shell?
Log4Shell funktioniert, indem es eine Funktion in Log4j missbraucht, die es Benutzern ermöglicht, benutzerdefinierten Code zum Formatieren einer Protokollnachricht anzugeben. Diese Funktion ermöglicht es Log4j beispielsweise, nicht nur den Benutzernamen zu protokollieren, der mit jedem Anmeldeversuch beim Server verbunden ist, sondern auch den echten Namen der Person, wenn ein separater Server ein Verzeichnis enthält, das Benutzernamen und echte Namen verknüpft. Dazu muss der Log4j-Server mit dem Server kommunizieren, der die echten Namen enthält.
Leider kann dieser Code nicht nur für die Formatierung von Log-Nachrichten verwendet werden. Log4j ermöglicht es Servern von Drittanbietern, Softwarecode zu übermitteln, der alle Arten von Aktionen auf dem Zielcomputer ausführen kann. Dies öffnet die Tür für schändliche Aktivitäten wie den Diebstahl sensibler Informationen, die Übernahme der Kontrolle über das Zielsystem und die Weitergabe schädlicher Inhalte an andere Benutzer, die mit dem betroffenen Server kommunizieren.
Es ist relativ einfach, Log4Shell auszunutzen. Ich konnte das Problem in meiner Kopie von Ghidra, einem Reverse-Engineering-Framework für Sicherheitsforscher, in nur wenigen Minuten reproduzieren. Es gibt eine sehr niedrige Grenze für die Verwendung dieses Exploits, was bedeutet, dass ein breiterer Kreis von Personen mit böswilligen Absichten ihn verwenden kann.
Log4j ist überall
Eines der Hauptanliegen über Log4Shell ist die Position von Log4j im Software-Ökosystem. Logging ist ein grundlegendes Feature der meisten Software, wodurch Log4j sehr weit verbreitet ist. Neben beliebten Spielen wie Minecraft wird es in Cloud-Diensten wie Apple iCloud und Amazon Web Services sowie in einer breiten Palette von Programmen verwendet, von Softwareentwicklungstools bis hin zu Sicherheitstools.
Das bedeutet, dass Hacker eine große Menü mit Zielen zur Auswahl: Heimanwender, Dienstanbieter, Quellcode-Entwickler und sogar Sicherheitsforscher. Während große Unternehmen wie Amazon ihre Webdienste schnell patchen können, um zu verhindern, dass Hacker sie ausnutzen, gibt es viel mehr Organisationen, die länger brauchen, um ihre Systeme zu patchen, und einige, die möglicherweise nicht einmal wissen, dass sie es müssen.
Der Schaden, der angerichtet werden kann
Hacker scannen das Internet, um anfällige Server zu finden und Computer einzurichten, die bösartige Nutzlasten liefern können. Um einen Angriff durchzuführen, fragen sie Dienste (zum Beispiel Webserver) ab und versuchen eine Log-Meldung auszulösen (zum Beispiel ein 404-Fehler). Die Abfrage enthält in böser Absicht erstellten Text, den Log4j als Anweisungen verarbeitet.
Diese Anweisungen können eine Reverse-Shell erstellen, die es dem angreifenden Server ermöglicht, den Zielserver fernzusteuern, oder sie können den Zielserver zu einem Teil eines Botnet. Botnets verwenden mehrere gekaperte Computer, um koordinierte Aktionen im Namen der Hacker durchzuführen.
Eine große Anzahl von Hackern versucht bereits, Log4Shell zu missbrauchen. Diese reichen von Ransomware-Gangs, die Minecraft-Server sperren, über Hackergruppen, die versuchen, Bitcoin abzubauen, bis hin zu Hackern, die mit China und Nordkorea in Verbindung stehen, die versuchen, Zugang zu sensiblen Informationen von ihren geopolitischen Rivalen zu erhalten. Das belgische Verteidigungsministerium berichtete, dass seine Computer mit Log4Shell angegriffen wurden.
Obwohl die Sicherheitsanfälligkeit erstmals am 10. Dezember 2021 allgemein bekannt wurde, suchen die Menschen immer noch nach neuen Wegen, um durch diesen Mechanismus Schaden anzurichten.
Das Bluten stoppen
Es ist schwer zu sagen, ob Log4j in einem bestimmten Softwaresystem verwendet wird, da es oft als Teil anderer Software gebündelt ist. Dies erfordert, dass Systemadministratoren ihre Software inventarisieren, um deren Vorhandensein zu identifizieren. Wenn einige Leute nicht einmal wissen, dass sie ein Problem haben, ist es viel schwieriger, die Schwachstelle zu beseitigen.
Eine weitere Folge der vielfältigen Verwendungsmöglichkeiten von Log4j ist, dass es keine universelle Lösung für das Patchen gibt. Je nachdem, wie Log4j in ein bestimmtes System integriert wurde, erfordert die Fehlerbehebung unterschiedliche Ansätze. Es könnte eine umfassende Systemaktualisierung erfordern, wie bei einigen Cisco-Routern, oder eine Aktualisierung auf eine neue Softwareversion, wie in Minecraft, oder das manuelle Entfernen des anfälligen Codes für diejenigen, die die Software nicht aktualisieren können.
Log4Shell ist Teil der Software-Lieferkette. Wie physische Gegenstände, die Menschen kaufen, durchläuft Software verschiedene Organisationen und Softwarepakete, bevor sie in einem Endprodukt endet. Wenn etwas schief geht, wird Software im Allgemeinen”gepatcht”, anstatt einen Rückrufprozess zu durchlaufen, d Koordination von Log4j-Entwicklern, Entwicklern von Software, die Log4j verwenden, Software-Distributoren, Systembetreibern und Benutzern. Normalerweise führt dies zu einer Verzögerung zwischen der Bereitstellung des Fixes im Log4j-Code und dem tatsächlichen Schließen der Tür für die Sicherheitslücke durch die Computer.
Einige Schätzungen für die Reparaturzeit von Software reichen im Allgemeinen von Wochen bis Monaten. Wenn das Verhalten in der Vergangenheit jedoch ein Hinweis auf die zukünftige Leistung ist, wird die Log4j-Sicherheitslücke wahrscheinlich noch in den kommenden Jahren auftreten.
Als Benutzer fragen Sie sich wahrscheinlich, was Sie dagegen tun können. Leider ist es schwer zu sagen, ob ein von Ihnen verwendete Softwareprodukt Log4j enthält und ob es anfällige Versionen der Software verwendet. Sie können jedoch helfen, indem Sie den allgemeinen Hinweis von Computersicherheitsexperten beachten: Stellen Sie sicher, dass Ihre gesamte Software auf dem neuesten Stand ist.
FacebookTwitterLinkedin