Originalartikel von Ranga Duraisamy, Ashish Verma, Nikko Tamana, Miguel Carlo Ang
In Apache Log4j, einem weit verbreiteten Logging-Paket für Java, ist eine Schwachstelle (CVE-2021-44228) gefunden und mit dem Namen Log4Shell versehen worden. Sie ermöglicht es einem Angreifer, beliebigen Code auszuführen, indem er speziell bearbeitete Log-Nachrichten sendet. Die Sicherheitslücke wurde Apache erstmals am 24. November privat gemeldet und am 9. Dezember mit Version 2.15.0 von Log4j gepatcht. Betroffen sind Apache Struts, Apache Solr, Apache Druid, Elasticsearch, Apache Dubbo und VMware vCenter. Derzeit beobachten wir, dass Bedrohungsakteure Mirai-Varianten und Kinsing-Coin-Miner auf anfälligen Servern ablegen. Wir haben ein webbasiertes Tool, Log4j Vulnerability Tester, entwickelt, mit dem angreifbare Serveranwendungen identifiziert werden können. Wir haben die Einzelheiten zu den jetzt schon bekannten Angriffen sowie Patch- und weitere Empfehlungen zum Schutz zusammengestellt. Eine komplette Liste unserer Lösungen finden Sie hier.
Weiterlesen →