15. Dezember 2021 | Autor: Jasleen Kaur | Kategorie: Security

Am Donnerstag, dem 9. Dezember, entdeckten Wissenschaftler eine Zero-Day-Lücke (CVE-2021-44228) in Apache Log4j (Version 2), der Open-Source-Java-Protokollierungsbibliothek. Diese Zero-Day-Lücke in log4j ermöglicht es Angreifern, unbefugten Zugriff auf Protokollnachrichten zu erhalten und die betroffenen Server fernzusteuern, was sehr ernste Folgen haben kann. Die Sicherheitslücke mit der Bezeichnung CVE-2021-44228 wurde zuerst in Minecraft entdeckt; Wissenschaftler haben jedoch gewarnt, dass auch Cloud-Anwendungen sehr anfällig sind. Seit dem Bekanntwerden dieses Sicherheitslecks versuchen Administratoren weltweit das Ausmaß der Schäden minimal zu halten. Auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) hält die Bedrohung durch die Cyber-Sicherheitswarnung der Warnstufe Rot für extrem bedrohlich.

Ist Password Safe betroffen?

Die Sicherheitslücke wurde von MATESO eingehend analysiert und wir kommen zu dem Schluss, dass Password Safe von dieser Schwachstelle NICHT BETROFFEN ist. Für Kunden, die unsere unterstützten Software-Versionen 8.10 oder höher verwenden, besteht kein Handlungsbedarf.

Eine weitere von Password Safe verwendete Bibliothek ist Log4js oder Log4 Java Script. Sie steht in keinem Zusammenhang mit Log4j oder Log4 Java und ist von der Sicherheitslücke NICHT betroffen.

Unsere Sicherheitsempfehlungen

Denjenigen, die eine Version unter 8.10 verwenden, empfehlen wir dringend, auf unsere neueste Version zu aktualisieren. Für die Version 8.9 und ältere bieten wir keinen Support mehr an, und da es sich um eine kritische Komponente der Systemsicherheit handelt, ist es ratsam, die Software zu aktualisieren.

Wenn ihr für Password Safe einen Apache-Server verwendet: Es gibt bereits einen Patch, der dieses Sicherheitsrisiko behebt: Wir empfehlen deshalb dringend, ein Server-Update durchzuführen.

Was ist Apache Log4j?

Apache Log4j ist Teil des Apache Logging-Projekts und wird von Unternehmen und Entwicklern auf der ganzen Welt eingesetzt, wobei die Bibliothek eine einfache Möglichkeit zur Protokollierung von Fehlern darstellt.

„Viele große Softwareunternehmen und Online-Dienste nutzen die Log4j-Bibliothek, darunter Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter und viele mehr.“

Quelle: https://www.kaspersky.com/blog/log4shell-critical-vulnerability-in-apache-log4j/43124/

Warum ist gerade CVE-2021-44228 so gefährlich?

CVE-2021-44228, auch Log4Shell oder LogJam genannt, ist ein Exploit der Klasse Remote Code Execution. Wenn Cyberkriminelle Fernzugriff auf einen beliebigen Server erhalten, können sie die Kontrolle über die Unternehmenssysteme erlangen, Verschlüsselungsprogramme installieren, vertrauliche Daten stehlen und Netzwerke gefährden.

„Entwickler verwenden Logging-Frameworks, um zu verfolgen, was in einer bestimmten Anwendung passiert. Um Log4Shell-Sicherheitslücke auszunutzen, muss ein Angreifer das System nur dazu bringen, eine strategisch gestaltete Codezeichenkette zu protokollieren. Von dort aus kann er dann beliebigen Code auf das Zielsystem laden.“

Source: https://www.wired.com/story/log4j-log4shell/

Und das ist mehr als einfach für Hacker. Es liegt in der Natur von Open-Source-Software, dass sie überall und jederzeit integriert werden kann und schwer gegen solche Angriffe zu schützen ist.

Wer ist gefährdet?

Unzählige Organisationen sind bereits potenziellen Remote-Code-Angriffen ausgesetzt und laufen Gefahr, sensible Informationen zu gefährden. Kleinere, weniger agile Organisationen, denen es an den notwendigen Ressourcen und der Sicherheitsinfrastruktur mangelt, werden die ersten sein, die die Folgen zu spüren bekommen. Für andere könnte sich dies in zukünftigen Penetrationstests bemerkbar machen. Millionen von Java-Anwendungen und Open-Source-Software nutzen Log4j in verschiedenen Formen, was bedeutet, dass auch Unternehmen, die Cloud-Plattformen und Webanwendungen nutzen, gefährdet sein können. Die Allgegenwart von Log4j wird sich erst noch entfalten.

Was jetzt?

In dieser Minute gibt es bereits Warnungen über bösartige Krypto-Befürworter und sogar Botnets wie Mirai, Tsunami und Kinsing, die die Log4j-Schwachstellen ausnutzen, um Krypto-Mining-Malware zu installieren. Beängstigend ist, dass Log4j noch auf unabsehbare Zeit Schaden anrichten wird. Während das ganze Ausmaß dieser Schwachstelle noch nicht absehbar ist, besteht die beste Lösung im Moment darin, sich mit Sicherheitsmaßnahmen zu beschäftigen, um die Zeit bis zum Eintreten der Auswirkungen zu verkürzen sowie die notwendigen Updates so früh wie möglich durchzuführen.