Was ist die Apache Log4j/Log4Shell vulnerability?
Brechen Sie Silos auf und stärken Sie Ihre Abwehr mit einer einheitlichen Plattform für Cybersicherheit.
Log4Shell (CVE-2021-44228, CVE-2021-45046 und CVE-2021-45105) ist eine Schwachstelle, die es Angreifern per Remote-Code-Ausführung (RCE) ermöglicht, willkürlich Java-Code auszuführen und so die Kontrolle über einen Zielserver zu übernehmen.
Überblick über die vulnerability Log4j/Log4Shell
2021 waren Zero-Day-Schwachstellen auf dem Vormarsch. Den Höhepunkt bildete Log4Shell, ein kritischer Fehler, der in der verbreiteten Java-basierten Logging Library Apache Log4j gefunden wurde. Er trägt die offizielle Bezeichnung CVE-2021-44228 und hat den Schweregrad 10 von 10 (CVSS v3.1) gemäß dem allgemeinen Bewertungssystem CVSS (Common Vulnerability Scoring System).
Die Schwachstelle wurde am 24. November 2021 zunächst privat an Apache gemeldet. Am 9. Dezember 2021 wurde Log4Shell offiziell publiziert, und mit Version 2.15.0 von Apache Log4j war ein erster Patch verfügbar.
Anschließende Berichte über Angriffe im tatsächlichen Gebrauch veranlassten mehrere nationale Cybersicherheitsbehörden, Warnungen auszugeben. Dazu gehörten die US Cybersecurity and Infrastructure Security Agency (CISA), das UK National Cyber Security Center (NCSC) und das Canadian Center for Cyber Security. Aufgrund der Beliebtheit von Apache Log4j waren möglicherweise mehrere hundert Millionen Geräte betroffen.
So funktioniert Log4Shell
Log4Shell ist eine Injektionsschwachstelle im der Java Naming and Directory Interface™ (JNDI), die eine Remote-Code-Ausführung (RCE) ermöglichen kann. Indem ein Angreifer nicht vertrauenswürdige Daten (z. B. bösartige Payloads) in die protokollierte Nachricht in einer betroffenen Apache Log4j-Version einfügt, kann er über die JNDI-Suche eine Verbindung zu einem Schadserver herstellen. Ergebnis: voller Zugriff auf Ihr System von einem beliebigen Ort weltweit.
Log4Shell kann zu weiteren Bedrohungen führen, da die JNDI-Suche verschiedene Arten von Verzeichnissen unterstützt: Domain Name Service (DNS) und Lightweight Directory Access Protocol (LDAP), die wertvolle Informationen über die Netzwerkgeräte des Unternehmens liefern, Remote Method Invocation (RMI) und Inter-ORB Protocol (IIOP). Bedrohungen sind zum Beispiel:
- Coin Mining: Angreifer können Ihre Ressourcen nutzen, um Kryptowährungen zu schürfen. Diese Bedrohung kann hohe Kosten verursachen, weil sehr viel Rechenleistung benötigt wird, um Services und Anwendungen in der Cloud auszuführen.
- Denial of Service (DoS) im Netzwerk: Diese Bedrohung ermöglicht es Angreifern, Netzwerke, Websites oder Services herunterzufahren und/oder zu deaktivieren, sodass das Zielunternehmen nicht mehr darauf zugreifen kann.
- Ransomware: Nach der RCE können Angreifer Daten zu beliebigen Zwecken sammeln und verschlüsseln.
Im Folgenden sehen Sie eine mögliche Infektionskette:
Anfällige Produkte, Anwendungen und Plug-Ins
Im Wesentlichen alle Geräte mit Internetverbindung, auf denen die Versionen 2.0 bis 2.14.1. von Apache Log4j ausgeführt werden. Die betroffenen Versionen sind Teil von Apache Struts, Apache Solr, Apache Druid, Elasticsearch, Apache Dubbo und VMware vCenter.
Patch und Behebung
Apache veröffentlichte zunächst Apache Log4j Version 2.15.0, um die Schwachstelle zu beheben. Diese Version funktionierte jedoch nur mit Java 8. Anwender mit früheren Versionen mussten immer wieder temporäre Lösungen einsetzen. Zum Zeitpunkt der Veröffentlichung dieses Artikels hatte Apache Version 2.16.0 veröffentlicht und Anwendern geraten, schnellstmöglich ein Update für potenziell betroffene Librarys durchzuführen.
Weitere Lösungsstrategien wie virtuelles Patching und die Verwendung eines Intrusion Detection/Prevention Systems (IDS/IPS) werden dringend empfohlen. Virtuelles Patching verhindert, dass die Schwachstelle weiter ausgenutzt werden kann. Das IDS/IPS überprüft den ein- und ausgehenden Datenverkehr auf verdächtiges Verhalten.
Log4Shell und die Hacker
Erstzugriff
Diese Schwachstelle wird durch den „Lookup“-Mechanismus in Log4j 2.x verursacht. Dabei wird nach den Zeichen ${ in Protokollen gesucht und die „Lookup“-Funktion ausgelöst, die unter anderem JNDI-Lookups (z. B. ${jndi:logging/context-name}) ermöglicht. Diese unterstützen Protokolle wie LDAP und RMI. Ein Angreifer kann einen LDAP-Server mit einer schädlichen Java-Klasse verwenden, um Code aus der Ferne auszuführen.
Ausführung
Wenn der Exploit erfolgreich ist, interpretiert der Server die Lookup-Zeichenfolge und kann dadurch beliebige Befehle in Java, JavaScript oder Unix-Shell-Formaten ausführen.
Laterale Bewegung
Es können Cobeacon-Komponenten heruntergeladen werden, die für laterale Bewegungen bekannt sind und mit Ransomware-Angriffen in Verbindung stehen.
Zugriff auf Anmeldedaten
Malware wie Kirabash kann Anmeldedaten stehlen, indem sie die Dateien /etc/passwd und /etc/shadow exfiltriert.
Auswirkungen
Beobachtete Payloads umfassen das Mirai-Botnet und den Kinsing-Coinminer. Die Auswirkungen umfassen:
Ressourcenmissbrauch: Coinminer nutzen Systemressourcen für das Schürfen von Kryptowährungen; Mirai kann infizierte Systeme als Teil eines Botnets verwenden
Netzwerk-DoS: Mirai kann über kompromittierte Systeme DDoS-/DoS-Angriffe durchführen.
Die Auswirkungen von Log4Shell
Am 24. November 2021 wurde Log4Shell von Forschern bei Alibaba entdeckt und als kritische Schwachstelle mit dem maximalen CVSS-Score von 10,0 eingestuft. Als Zero-Day-Sicherheitslücke in der weit verbreiteten Logging-Bibliothek Log4J stellte sie ein unmittelbares und erhebliches Risiko dar, bevor ein Patch verfügbar war.
Durch die breite Verwendung von Log4J in Webanwendungen, Cloud-Diensten und Endverbrauchersystemen waren über 90 % der Cloud-Umgebungen betroffen. Viele Unternehmen wussten nicht einmal, dass sie gefährdet waren, da Log4J häufig als indirekte Abhängigkeit eingesetzt wurde.
Was Log4Shell besonders gefährlich machte, war die einfache Ausnutzung – es war keine spezielle Berechtigung erforderlich. Angreifer konnten schädlichen Code über einfache Eingabefelder wie Chatboxen oder Login-Formulare einschleusen. Einmal ausgelöst, konnte der Code an andere Systemkomponenten weitergeleitet werden.
Bis zum 9. Dezember tauchte öffentlicher Exploit-Code auf, und große Unternehmen wie Minecraft, Twitter und Cisco waren betroffen. In der Spitze wurden weltweit über 100 Angriffe pro Minute registriert.
Die Schwachstelle wurde genutzt, um Botnets, Cryptominer und Ransomware (z. B. Khonsari, Night Sky) zu verbreiten. Auch staatlich unterstützte Gruppen aus Ländern wie China und Nordkorea wurden bei der Ausnutzung beobachtet.
Trend Micro Vision One Platform
Gegner schneller zu stoppen und die Kontrolle über Cyberrisiken zu übernehmen, erfordert einen einheitlichen Ansatz. Die weit verbreitete Log4J-Sicherheitslücke hat gezeigt, wie einfach es für Angreifer ist, selbst einfache Komponenten auszunutzen – proaktive und integrierte Verteidigung ist daher unerlässlich.
Trend Vision One bietet KI-gestützte Funktionen zur Prävention, Erkennung und Reaktion, unterstützt durch führende Bedrohungsinformationen. Es unterstützt hybride IT-Umgebungen, automatisiert Sicherheitsprozesse und vereinfacht den Betrieb – so können Sie Komplexität reduzieren, Sicherheitslücken schließen und Bedrohungen stets einen Schritt voraus sein.
Apache Log4j
Weiterführender Research
Weiterführende Artikel