Start Empfohlen Was sind Log4Shell und log4j und sollten Sie sich darüber Sorgen machen?

Was sind Log4Shell und log4j und sollten Sie sich darüber Sorgen machen?

41
0


Ende November wurde eine Schwachstelle aufgedeckt, die auf Minecraft-Server abzielt. Wenn Sie Minecraft nicht spielen, haben Sie ihm wahrscheinlich nicht viel Aufmerksamkeit geschenkt.

Seitdem hat sich ‚Log4Shell‘ jedoch durch das Internet verbreitet und Beben durch die Sicherheits-Community geschickt und die US-Regierung veranlasst, es als ‚ernsthaftes Risiko‘ zu bezeichnen. Also, was ist los und ist es Zeit, in Panik zu geraten?

Log4Shell betrifft zunächst log4j. Was ist log4j? Es ist ein Open-Source-Logging-Framework in Java, das Entwickler verwenden, um Softwareaktivitäten in Cloud- und Unternehmensanwendungen zu verfolgen. Das bedeutet, dass es in einer Vielzahl von Dingen verwendet wird, Java wird auf Milliarden von Systemen verwendet, darunter IoT-Geräte, medizinische Ausrüstung und mehr – es wird sogar in Ingenuity, dem Mars-Hubschrauber, verwendet.

Es ist auch weit verbreitet in Apache, der beliebtesten Webserver-Software, integriert. Auch wenn nur ein kleiner Prozentsatz der Geräte, die log4j verwenden, gefährdet ist, bedeutet dies, dass diese Sicherheitsanfälligkeit ein massives Potenzial hat. Die Apache Software Foundation hat es aufgeführt als kritisch.

Casey Ellis, CTO und Gründer der Crowdsourcing-Sicherheitsplattform Käfermenge sagt: „Dies ist ein Worst-Case-Szenario – die Kombination aus der allgegenwärtigen Verwendung von log4j in Software und Plattformen, den vielen, vielen verfügbaren Wegen, um die Sicherheitsanfälligkeit auszunutzen, die Abhängigkeiten, die das Patchen dieser Sicherheitsanfälligkeit erschweren, ohne andere Dinge zu beschädigen…“

Cyberkriminelle können die Schwachstelle nutzen, um die Kontrolle über einen Server zu erlangen, sodass sie jeden Code ausführen, auf alle Daten auf einem infizierten Computer zugreifen, Dateien verschlüsseln und natürlich das System gegen Lösegeld halten können. Tatsächlich wird es laut Angaben der US-Regierung bereits von einer wachsenden Zahl von Bedrohungsakteuren ausgenutzt Cybersecurity and Infrastructure Security Agency des Department of Homeland Security (KAG). Das britische National Cyber ​​Security Center (NCSC) sagt auch, dass es sich bewusst ist, dass Scans und versuchte Ausbeutung weltweit entdeckt werden. Das Cybersicherheitsunternehmen ESET hat eine Heatmap erstellt, die zeigt, wo weltweit versucht wird, Exploits durchzuführen.

OK, das ist also eine große Sache und wenn Sie sich vorher keine Sorgen gemacht haben, sollten Sie es jetzt tun. Die nächste Frage lautet: Welche Schritte müssen Sie unternehmen, um Ihr Unternehmen zu schützen? Ellis von Bugcrowd sagt: „Die sofortige Aktion besteht darin, das, was Sie als Software-Shop tun, einzustellen und aufzuzählen, wo log4j existiert und in Ihrer Umgebung und Ihren Produkten existieren könnte , daher gehen wir davon aus, dass die Ausnutzbarkeit dieser Sicherheitsanfälligkeit ziemlich lang sein wird.“

Es ist ein Skript verfügbar auf Github um das Vorhandensein der Schwachstelle auf Linux- und Windows-Systemen zu erkennen. Die anfälligen Versionen von log4j 2 sind alle log4j-core-Versionen von 2.0-beta9 bis 2.14.1. Der beste Rat ist, Ihre Abhängigkeiten zu aktualisieren, um die neueste Version 2.15.0 zu verwenden. Frühere 1.x-Versionen von log4j unterliegen dieser Schwachstelle nicht, haben jedoch ihre eigenen Probleme.

Kudelski-Sicherheit CEO Andrew Howard sagt:

Die Schwachstelle macht deutlich, dass Entwickler Bibliotheken oft blind verwenden, ohne alle verfügbaren Optionen sorgfältig abzuwägen. Ein sicherheitsbewusster Entwickler hätte wahrscheinlich beim Lesen der Dokumentation die JNDI-Abfrage deaktiviert, wenn die Software dieses Feature nicht nutzt und damit die Angriffsfläche reduziert.

Ich empfehle Organisationen, ein Repository mit Bibliotheken zu unterhalten, die als Teil eines sicheren DevOps-Prozesses und als Teil der grundlegenden IT-Sicherheitsstrategie des Unternehmens als sicher gelten. Der Standard für alle Entwicklungsprozesse sieht dann vor, dass Programmierer alle Bibliotheken, die in einem Softwareentwicklungsprojekt verwendet werden, kontinuierlich mit diesem Repository auf Akzeptanz überprüfen.

Dies ist wahrscheinlich eine dieser Schwachstellen – wie Heartbleed aus dem Jahr 2014 – die eine lange Spur hinterlassen werden, da ungepatchte Systeme in den kommenden Jahren gefährdet bleiben.

In der Zwischenzeit lasst uns da draußen vorsichtig sein.

Bildnachweis: milliardendigital/Depositphotos.com



Vorheriger ArtikelVom Entwickler zum Product Owner
Nächster ArtikelSamsung Galaxy A53: Neue Details zum Nachfolger des Galaxy A52

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein