Schlagwort-Archive: Log4Shell

Nach Log4Shell: gegen Open-Source-Exploits ohne Ende

Originalartikel von Anthony Musk

Ein Monat in der Cybersicherheit kann sich manchmal wie ein ganzes Leben anfühlen. Seit Mitte Dezember nunmehr sorgten Log4Shell-Angriffe und die dann im Logging-Tool Log4j gefundenen Schwachstellen für schlaflose Nächte. Das Protokollierungsprogramm ist so allgegenwärtig im Einsatz, dass die damit verbundenen Bedrohungen uns noch Monate oder sogar Jahre begleiten werden. Zum Leidwesen der Sicherheitsexperten, ihrer Arbeitgeber und Kunden gibt es ein noch viel größeres Problem. Trend Micro ist eine von mehreren Stimmen, die vor den Auswirkungen von Open-Source-Fehlern auf die Sicherheit der digitalen Welt warnen. Wenn wir nicht bald etwas unternehmen, könnte Log4Shell der Beginn eines äußerst unwillkommenen Trends sein: eine Cyber-Pandemie, die durch Open-Source-Exploits angeheizt wird.
Weiterlesen

Log4Shell – Kennen Sie Ihre Software-Lieferkette?

von Udo Schneider, IoT Security Evangelist Europe

Die vor ein paar Tagen bekannt gewordene Log4Shell-Sicherheitslücke ist gerade in aller Munde und hält die Sicherheitsfachleute weltweit auf Trab. Das BSI spricht von einer „extrem kritischen Bedrohungslage“, denn die angreifbare Log4J-Bibliothek ist gewissermaßen „der“ Log-Standard in Java-Umgebungen. Dementsprechend wird sie auch in tausenden von Applikationen und Internet-Diensten genutzt. Hinzu kommt, dass die Lücke einfach zu missbrauchen ist und in vielen Fällen aus der Ferne ausgenutzt werden kann, wobei sie letztendlich die Ausführung beliebiger Kommandos erlaubt. Aus Cybersecurity-Sicht ein wahrer Albtraum! Unternehmen können als unmittelbare Reaktion unseren detaillierten Empfehlungen folgen und vorhandene Patches aufspielen sowie Best Practices anwenden. Doch in einem zweiten Schritt sollten sie einen generellen Blick auf Prozesse rund um Software-Lieferketten werfen. Denn letztendlich ist auch Log4Shell, so sicherheitsrelevant die Lücke auch sein mag, „nur“ ein fehlerhafter Baustein in der Software-Lieferkette.
Weiterlesen

Jetzt Patchen: Log4Shell wird aktiv missbraucht

Originalartikel von Ranga Duraisamy, Ashish Verma, Nikko Tamana, Miguel Carlo Ang

In Apache Log4j, einem weit verbreiteten Logging-Paket für Java, ist eine Schwachstelle (CVE-2021-44228) gefunden und mit dem Namen Log4Shell versehen worden. Sie ermöglicht es einem Angreifer, beliebigen Code auszuführen, indem er speziell bearbeitete Log-Nachrichten sendet. Die Sicherheitslücke wurde Apache erstmals am 24. November privat gemeldet und am 9. Dezember mit Version 2.15.0 von Log4j gepatcht. Betroffen sind Apache Struts, Apache Solr, Apache Druid, Elasticsearch, Apache Dubbo und VMware vCenter. Derzeit beobachten wir, dass Bedrohungsakteure Mirai-Varianten und Kinsing-Coin-Miner auf anfälligen Servern ablegen. Wir haben ein webbasiertes Tool, Log4j Vulnerability Tester, entwickelt, mit dem angreifbare Serveranwendungen identifiziert werden können. Wir haben die Einzelheiten zu den jetzt schon bekannten Angriffen sowie Patch- und weitere Empfehlungen zum Schutz zusammengestellt. Eine komplette Liste unserer Lösungen finden Sie hier.
Weiterlesen