Wie erkenne ich Angriffe?

Da die Software so weit verbreitet ist und Updates beziehungsweise Gegenmaßnahmen im Zweifel nicht einfach umsetzbar sind, empfehlen viele Anbieter von Sicherheitssoftware oder Firewalls, entsprechende Filter und Regeln umzusetzen, mit denen Angriffe erkannt werden könnten. Wird dabei aber etwa nur nach dem Aufruf-Beginn "${jndi:ldap:" gefiltert, lässt sich dies wohl leicht verschleiern und so umgehen, wie Microsoft schreibt.

Das Team schreibt dazu: "Wir haben Dinge gesehen wie das Ausführen eines lower- oder upper-Kommandos innerhalb des Exploit-Strings ({jndi:${lower:l}${lower:d}a${lower:p}) und sogar noch kompliziertere Verschleierungsversuche (${${::-j}${::-n}${::-d}${::-i}), die alle versuchen, die String-Erkennung-Erkennung zu umgehen." Einige Sicherheitsforscher haben mit Blick auf die nahezu unendliche Anzahl an Möglichkeiten bereits aufgeben.

Seit wann laufen die Angriffe? Und wie gefährlich sind diese?

Doch für einige Server-Administratoren dürfte es schon vor dem Bekanntwerden der Sicherheitslücke zu spät für Patches gewesen sein. Laut dem CEO von Cloudflare, Matthew Prince, wurde die Lücke schon mehr als eine Woche vor ihrem öffentlichen Bekanntwerden ausgenutzt: "Der früheste Beweis, den wir bisher für den Log4J-Exploit gefunden haben, ist der 2021-12-01 04:36:50 UTC", schreibt Prince auf Twitter.

Beweise für eine massenhafte Ausnutzung der Lücke gebe es jedoch nicht, schränkt Prince ein. Auch die Sicherheitsfirma Talos hat Angriffe mit der Log4Shell-Lücke ab dem 2. Dezember beobachtet. Wer nach Anzeichen für eine Kompromittierung sucht, sollte den untersuchten Zeitraum also mindestens auf den kompletten Dezember ausweiten. Auch Microsoft warnt davor, dass die Lücke bereits aktiv für Malware-Kampagnen ausgenutzt wird, wie etwa für Cobalt-Strike.

Doch es könnte sogar noch viel schlimmer sein, denn die Lücke war über einen langen Zeitraum im Code von Apache Log4J ausnutzbar. Wer die Lücke bereits vor Monaten oder Jahren selbst entdeckt hat, konnte sie einfach ausnutzen. Hinweise darauf, dass die Lücke bereits vor Monaten gefunden worden ist, finden sich auf Github. Inzwischen wird sogar davor gewarnt, dass die Lücke zum Bau eines Wurms genutzt werde könnte.

Seit wann besteht die Lücke eigentlich?

Die entsprechende Funktionalität, die die Verwundbarkeit in Log4j eingeführt hat, wurde bereits im Jahr 2013 in den Code eingefügt. Nachvollziehbar ist das über den Bugtracker des Projekts. Auffällig dabei: Offenbar wurde das entsprechende Feature sehr schnell übernommen.

Bereits einen Tag, nachdem der entsprechende Patch bereitgestellt wurde, hatte ein Entwickler diesen in den offiziellen Code des Projekts aufgenommen. Damit erinnert die Entstehung der Lücke frappierend an einen anderen Vorfall: Der Heartbleed-Bug in OpenSSL. Auch da wurde ein potenziell gefährliches Feature von den Entwicklern ohne viel Nachfragen schnell in den eigenen Code eingepflegt - und dabei nicht erkannt, dass sich darin eine gefährliche Sicherheitslücke befand.

Und wie auch schon bei OpenSSL im Fall von Heartbleed arbeiten die Maintainer von Log4J bisher lediglich in ihrer Freizeit an der Anwendung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Was ist betroffen? Und was hilft gegen Log4Shell?
  1.  
  2. 1
  3. 2
  4. 3
  5. 4


Bolzkopf 02. Jan 2022

denn in diesen Containern befinden sich oftmals eigene Kopien der Java-Bibiliotheken. Es...

scrumdideldu 23. Dez 2021

Der letzte Teil stimmt. Es entbindet nicht von jeglicher Verantwortung. Allerdings ist...

gadthrawn 21. Dez 2021

Die Beispiele bei denen OS wiederholt unsicher ist benötigt es nur aus einem Grund: Zu...

gadthrawn 21. Dez 2021

Nicht? Weißt du was bei einem String mit% beim loggen passiert in Python? ...



Aktuell auf der Startseite von Golem.de
Custom Keyboard
Youtuber baut riesige Tastatur für 13.500 Euro

Die Switches haben das 64-fache Volumen und das Gehäuse ist menschenhoch: Ein Youtuber baut eine absurd große Tastatur für absurd viel Geld.

Custom Keyboard: Youtuber baut riesige Tastatur für 13.500 Euro
Artikel
  1. Super Nintendo: Fan bringt verbessertes Zelda 3 für Windows, MacOS und Linux
    Super Nintendo
    Fan bringt verbessertes Zelda 3 für Windows, MacOS und Linux

    Aus 80.000 Zeilen C-Code besteht die per Reverse Engineering generierte Version von Zelda 3. Die bringt einige Verbesserungen und 16:9.

  2. Astronomie: James-Webb-Teleskop entdeckt Miniasteroiden
    Astronomie
    James-Webb-Teleskop entdeckt Miniasteroiden

    Astronomen haben mit dem James-Webb-Teleskop zufällig einen kleinen Asteroiden entdeckt. Es ist wahrscheinlich das kleinste Objekt, das das Weltraumteleskop bisher gefunden hat.

  3. Linux: Alte Computer zu neuem Leben erwecken
    Linux
    Alte Computer zu neuem Leben erwecken

    Computer sind schon nach wenigen Jahren Nutzungsdauer veraltet. Doch mit den schlanken Linux-Distributionen AntiX-Linux, Q4OS oder Simply Linux erleben ältere PC-Systeme einen zweiten Frühling.
    Von Erik Bärwaldt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • DAMN-Deals: AMD CPUs zu Tiefstpreisen (u. a. R7 5800X3D 324€)• MindStar: Zotac RTX 4070 Ti 949€, XFX RX 6800 519€ • WSV-Finale bei MediaMarkt (u. a. Samsung 980 Pro 2 TB Heatsink 199,99€) • RAM im Preisrutsch • Powercolor RX 7900 XTX 1.195€ • PCGH Cyber Week nur noch kurze Zeit [Werbung]
    •  /