Wie erkenne ich Angriffe?

Da die Software so weit verbreitet ist und Updates beziehungsweise Gegenmaßnahmen im Zweifel nicht einfach umsetzbar sind, empfehlen viele Anbieter von Sicherheitssoftware oder Firewalls, entsprechende Filter und Regeln umzusetzen, mit denen Angriffe erkannt werden könnten. Wird dabei aber etwa nur nach dem Aufruf-Beginn "${jndi:ldap:" gefiltert, lässt sich dies wohl leicht verschleiern und so umgehen, wie Microsoft schreibt.

Stellenmarkt
  1. Servicemanagerin Finanzwesen (m/w/d)
    Hannoversche Informationstechnologien AöR (hannIT), Hannover (Home-Office möglich)
  2. Inhouse Berater SAP (m/w/d)
    über Hays AG, Giengen an der Brenz
Detailsuche

Das Team schreibt dazu: "Wir haben Dinge gesehen wie das Ausführen eines lower- oder upper-Kommandos innerhalb des Exploit-Strings ({jndi:${lower:l}${lower:d}a${lower:p}) und sogar noch kompliziertere Verschleierungsversuche (${${::-j}${::-n}${::-d}${::-i}), die alle versuchen, die String-Erkennung-Erkennung zu umgehen." Einige Sicherheitsforscher haben mit Blick auf die nahezu unendliche Anzahl an Möglichkeiten bereits aufgeben.

Seit wann laufen die Angriffe? Und wie gefährlich sind diese?

Doch für einige Server-Administratoren dürfte es schon vor dem Bekanntwerden der Sicherheitslücke zu spät für Patches gewesen sein. Laut dem CEO von Cloudflare, Matthew Prince, wurde die Lücke schon mehr als eine Woche vor ihrem öffentlichen Bekanntwerden ausgenutzt: "Der früheste Beweis, den wir bisher für den Log4J-Exploit gefunden haben, ist der 2021-12-01 04:36:50 UTC", schreibt Prince auf Twitter.

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    21.–25. Februar 2022, Virtuell
  2. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    7.–8. Februar 2022, Virtuell
Weitere IT-Trainings

Beweise für eine massenhafte Ausnutzung der Lücke gebe es jedoch nicht, schränkt Prince ein. Auch die Sicherheitsfirma Talos hat Angriffe mit der Log4Shell-Lücke ab dem 2. Dezember beobachtet. Wer nach Anzeichen für eine Kompromittierung sucht, sollte den untersuchten Zeitraum also mindestens auf den kompletten Dezember ausweiten. Auch Microsoft warnt davor, dass die Lücke bereits aktiv für Malware-Kampagnen ausgenutzt wird, wie etwa für Cobalt-Strike.

Doch es könnte sogar noch viel schlimmer sein, denn die Lücke war über einen langen Zeitraum im Code von Apache Log4J ausnutzbar. Wer die Lücke bereits vor Monaten oder Jahren selbst entdeckt hat, konnte sie einfach ausnutzen. Hinweise darauf, dass die Lücke bereits vor Monaten gefunden worden ist, finden sich auf Github. Inzwischen wird sogar davor gewarnt, dass die Lücke zum Bau eines Wurms genutzt werde könnte.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Seit wann besteht die Lücke eigentlich?

Die entsprechende Funktionalität, die die Verwundbarkeit in Log4j eingeführt hat, wurde bereits im Jahr 2013 in den Code eingefügt. Nachvollziehbar ist das über den Bugtracker des Projekts. Auffällig dabei: Offenbar wurde das entsprechende Feature sehr schnell übernommen.

Bereits einen Tag, nachdem der entsprechende Patch bereitgestellt wurde, hatte ein Entwickler diesen in den offiziellen Code des Projekts aufgenommen. Damit erinnert die Entstehung der Lücke frappierend an einen anderen Vorfall: Der Heartbleed-Bug in OpenSSL. Auch da wurde ein potenziell gefährliches Feature von den Entwicklern ohne viel Nachfragen schnell in den eigenen Code eingepflegt - und dabei nicht erkannt, dass sich darin eine gefährliche Sicherheitslücke befand.

Und wie auch schon bei OpenSSL im Fall von Heartbleed arbeiten die Maintainer von Log4J bisher lediglich in ihrer Freizeit an der Anwendung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Was ist betroffen? Und was hilft gegen Log4Shell?
  1.  
  2. 1
  3. 2
  4. 3
  5. 4


Bolzkopf 02. Jan 2022 / Themenstart

denn in diesen Containern befinden sich oftmals eigene Kopien der Java-Bibiliotheken. Es...

scrumdideldu 23. Dez 2021 / Themenstart

Der letzte Teil stimmt. Es entbindet nicht von jeglicher Verantwortung. Allerdings ist...

gadthrawn 21. Dez 2021 / Themenstart

Die Beispiele bei denen OS wiederholt unsicher ist benötigt es nur aus einem Grund: Zu...

gadthrawn 21. Dez 2021 / Themenstart

Nicht? Weißt du was bei einem String mit% beim loggen passiert in Python? ...

gadthrawn 18. Dez 2021 / Themenstart

Für dich nicht, für andere schon, sonst wäre das nie ein Feature Request gewesen. Es...

Kommentieren



Aktuell auf der Startseite von Golem.de
Lego Star Wars UCS AT-AT aufgebaut
"Das ist kein Mond, das ist ein Lego-Modell"

Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
Ein Praxistest von Oliver Nickel

Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
Artikel
  1. Kryptowährung im Fall: Bitcoin legt rasante Talfahrt hin
    Kryptowährung im Fall
    Bitcoin legt rasante Talfahrt hin

    Am Samstag setzte sich der Absturz des Bitcoin fort. Ein Bitcoin ist nur noch 34.200 US-Dollar wert. Auch andere Kryptowährungen machen Verluste.

  2. eStream: Airstream-Wohnwagen mit eigenem Elektroantrieb
    eStream
    Airstream-Wohnwagen mit eigenem Elektroantrieb

    Der Wohnwagen Airstream eStream besitzt einen eigenen Elektroantrieb nebst Akku. Das entlastet das Zugfahrzeug und eröffnet weitere Möglichkeiten.

  3. Andromeda: Dieses Microsoft-Smartphone-Betriebssystem erschien nie
    Andromeda
    Dieses Microsoft-Smartphone-Betriebssystem erschien nie

    Erstmals ist ein Blick auf Andromeda möglich - das Smartphone-Betriebssystem, das Microsoft bereits vor einigen Jahren eingestellt hat.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 120,95€ • Alternate (u.a. AKRacing Master Pro Deluxe 449,98€) • Seagate FireCuda 530 1 TB (PS5) 189,90€ • RTX 3070 989€ • The A500 Mini 189,90€ • Intel Core i9 3.7 459,50€ • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /