Log4J: AWS-Patch für Log4Shell ermöglicht Root-Rechte

Der Cloud-Hoster AWS hat schnell auf die Log4J-Lücke reagiert. Forscher konnten nun aber gravierende Fehler in den Hotpatches zeigen.

Artikel veröffentlicht am ,
Java in einem Container sollte eigentlich abgeschottet sein, bei AWS ging das aber schief.
Java in einem Container sollte eigentlich abgeschottet sein, bei AWS ging das aber schief. (Bild: Jakub Porzycki via Reuters Connect)

Schon sehr früh und viel schneller als viele andere Konkurrenten hat der Cloud-Hoster AWS im vergangenen Dezember auf die auch als Log4Shell bekannte Sicherheitslücke (CVE-2021-44228) in der Java-Bibliothek Log4J reagiert und einen sogenannten Hotpatch dafür veröffentlicht. Wie die zu Palo Alto Networks gehörenden Sicherheitsforscher von Unit 42 nun aber berichten, hatte auch dieser Hotpatch selbst wiederum gravierende Sicherheitslücken.

Stellenmarkt
  1. Systementwickler / Administrator IoT-Solutions (w/m/d)
    KHS GmbH, Dortmund
  2. IT-Systemadministrator/in (m/w/d)
    Stadt Achim, Achim
Detailsuche

Verteilt werden die Hotpatches von AWS als RPM oder DEB-Paket über einen Service in Amazon Linux, für Kubernetes-Cluster sowie auch für den eigenen Container-Host Bottlerocket. Die so aufgespielten Patches seien laut Unit 42 aber fehlerhaft und ließen sich dazu missbrauchen, etwa aus Containern auf den Host auszubrechen oder die eigenen Rechte zu erweitern und so Root-Rechte zu erlangen.

Rechteausweitung per Update

Die Ursache für die fehlerhaften Hotpatches von AWS ist dabei leicht zu verstehen. Laut den Forschern hab der Update-Dienst nach Binärdateien mit dem Namen "java" gesucht, um dessen Version abzufragen. Die Binärdatei ist anschließend ein zweites Mal aufgerufen worden, um im laufenden Betrieb das eigentliche Hotpatch-Update einzuspielen. Konkret handelt es sich dabei laut AWS um das Deaktivieren des Java Naming and Directory Interface (JNDI), das für Log4Shell genutzt wird.

Wie Unit 42 nun schreibt, sind beim zweiten Aufruf und dem damit verbundenen Neustart nicht die gleichen Rechte für Java vergeben worden wie vorher. In Containern sind etwa sämtliche Linux Capabilities vergeben worden, auch Seccomp und Cgroups seien nicht mehr genutzt worden, letztlich lief das Programm auch mit Root-Rechten. Auf Hostsystemen lief dies laut der Beschreibung ähnlich, eine Rechteeinschränkung habe nicht stattgefunden.

Golem Karrierewelt
  1. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    17./18.08.2022, Virtuell
  2. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    06.10.2022, Virtuell
Weitere IT-Trainings

Für einen erfolgreichen Angriff oder auch Ausbruch aus dem Container reiche es also aus, eine eigene Anwendung mit dem Namen "java" in dem System unterzubringen. Der Update-Dienst erkennt diese dann und startet sie mit den erweiterten Rechten. AWS hat diese Fehler inzwischen behoben und stellt entsprechende Updates bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Führung in der IT
Über das Unentbehrlichsein

Wie ich als Chef zum wandelnden Lexikon wurde und dabei meinen Spaß an der Arbeit verlor - und wie ich versuche, es besser zu machen.
Ein Erfahrungsbericht von @SoFuckingAgile

Führung in der IT: Über das Unentbehrlichsein
Artikel
  1. FTTC: Nachfrage für Vectoring der Telekom steigt um 60 Prozent
    FTTC
    Nachfrage für Vectoring der Telekom steigt um 60 Prozent

    Die Telekom sieht sich mit dem kupferbasierten Anschluss erfolgreich. Im Jahresvergleich hat sich der Kundenbestand um 1,3 Millionen auf 5,4 Millionen erhöht.

  2. Sensorfehler: Spinne legt Rendsburger Schwebefähre lahm
    Sensorfehler
    Spinne legt Rendsburger Schwebefähre lahm

    Ein Krabbeltier hat ein wichtiges Verkehrsmittel zur Überquerung des Nord-Ostsee-Kanals gestoppt - indem es ein Netz über einem Sensor gesponnen hat.

  3. Financial Modeling World Cup: Excel-E-Sport im Fernsehen
    Financial Modeling World Cup
    Excel-E-Sport im Fernsehen

    Ein TV-Sender in den USA übertrug erstmals die Ausscheidung der Excel-Weltmeisterschaft.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Neuer MM-Flyer • MindStar (Gigabyte RTX 3070 Ti 699€, XFX RX 6950 XT 999€) • eBay Re-Store -50% • AVM Fritz-Box günstig wie nie • Top-SSDs 1TB/2TB (PS5) zu Hammerpreisen • MSI-Sale: Gaming-Laptops/PCs -30% • Der beste Gaming-PC für 2.000€ [Werbung]
    •  /