Warnstufe Rot : Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen
▻https://www.heise.de/news/Roter-Alarm-Log4j-Zero-Day-Luecke-bedroht-Heimanwender-und-Firmen-6292863.html
Attention, une bonne partie des grands services.disponibles par internet souffre d’une vulnérabilité du type zero day exploit directement exploitable. Ce n’est pas seulement un problème pour les fournisseurs de service mais concerne tous leurs clients et les utilisateurs d’ordinateurs qui utilisent la librairie Javascript Log4j.
12.12.2021 von Mirko Dölle - Systeme abschalten, Verbindungen blockieren: Das BSI rät wegen der Zero-Day-Lücke in Log4j zu extremen Maßnahmen, Schadcode soll direkt ausführbar sein.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die am Freitag bekannt gewordene Zero-Day-Lücke in der weit verbreiteten Java-Bibliothek Log4j nachträglich hochgestuft. Es gilt nun die höchste Warnstufe Rot. Man habe beobachtet, dass die Schwachstelle ohne explizites Nachladen von Schadcode ausgenutzt werden könne, womit ein Großteil der zuvor empfohlenen Gegenmaßnahmen ins Leere läuft.
Maliziöser Code könne direkt in der Abfrage enthalten seien, sodass auch Grundschutz-konforme Systeme gefährdet seien, die keine Verbindung ins Internet aufbauen können. Als akute Maßnahmen empfiehlt das BSI, nicht zwingend benötigte Systeme abzuschalten, Netzwerke zu segmentieren, um verwundbare Systeme zu isolieren und soweit wie möglich etwa durch den Einsatz von Proxies in HTTP-Headern Inhalte durch statische Werte überschreiben zu lassen. Außerdem sollte auf Systemen, die unabdingbar für Geschäftsprozesse sind und nicht abgeschaltet werden können, ein umfangreiches Logging erfolgen und auch ein- sowie ausgehende Verbindungen protokolliert werden, um im Nachgang leichter herausfinden zu können, ob ein System kompromittiert wurde.
Weil die Java-Bibliothek Log4j als Komponente in extrem vielen Java-Anwendungen steckt, ist im Moment nicht absehbar, wie viele Internetdienste auch von namhaften Firmen von der Zero-Day-Lücke betroffen sind, die das Ausführen von beliebigem Code erlaubt. Auf GitHub gibt es eine bei weitem nicht vollständige Liste von Diensten, bei denen der am Freitag veröffentlichte Proof-of-Concept-Code (PoC) der Pen-Testing-Gruppe 0x0021h angeschlagen hat. Es ist ein Who-is-Who der bekanntesten Firmen und reicht von Amazon und Apple über CloudFlare, Google, IBM, Tesla und Twitter bis zu VMWare.
Anzeige
Auch Heimanwender gefährdet
Doch nicht nur Großkonzerne sind gefährdet, Log4j steckt auch in vielen Netzwerk- und Systemkomponenten, die auch in kleinen Firmen, aber auch von Privatpersonen und Mitarbeitern im Home-Office eingesetzt werden. So hat Ubiquiti, bei Heimanwendern vor allem für seine Meshing-fähigen WLAN Access Points bekannt, bereits eingeräumt, dass das Konfigurations- und Verwaltungs-Frontend UniFi Network Application verwundbar ist und ein Update bereitgestellt.
Für Firmen, deren Mitarbeiter derzeit Corona-bedingt von zu Hause aus arbeiten und sich mit ihren privaten Rechnern per VPN ins interne Firmennetzwerk einklinken, ist dies eine alarmierende Nachricht. Die UniFi Network Application kommt aber auch in vielen Hotels, Geschäften, Banken, Arztpraxen und kleinen Firmen zum Einsatz, um Besuchern mittels Vouchern einen Internetzugang via Gäste-WLAN anzubieten. Auch Netzwerkkomponenten anderer Hersteller könnten von der Lücke betroffen sein, Cisco etwa hat ebenfalls schon einige verwundbare Produkte entdeckt, bei Dutzenden anderen Cisco-Produkten laufen die Untersuchungen noch. Die meisten Hersteller hüllen sich aktuell jedoch noch in Schweigen.
Anzeige
Sicherheitssysteme betroffen
Es sind aber nicht nur Server und Netzwerkkomponenten von der Log4j-Lücke betroffen, laut Cisco ist auch das Kameraüberwachungssystem Cisco Video Surveillance Operations Manager verwundbar. In Zugangssystemen wie digitalen Schließsystemen und in der Automatisierungstechnik sowie Smart Home ist Java ebenfalls weit verbreitet – ob auch diese Systeme durch die Zero-Day-Lücke in Log4j kompromittierbar sind, weiß noch niemand.
Sicherheitsspezialisten auf der ganzen Welt arbeiten trotz Wochenende fieberhaft daran, verwundbare Systeme zu identifizieren und Lücken zu stopfen. Sie liefern sich einen Wettlauf mit den Angreifern, die derzeit ebenfalls Überstunden schieben. Laut der Pressemitteilung wurden dem BSI aus mehreren CERT-Quellen weltweite Massenscans und Angriffe gemeldet, es gebe auch erste erfolgreiche Kompromittierungen, unter anderem mit Kryptominern. Das BSI empfiehlt, zur Verfügung stehende Updates sofort einzuspielen und qualifiziertes IT-Personal einzusetzen, um kritische, vor allem von außen erreichbare Systeme engmaschig zu überwachen. Für Admins bedeutet dies alles andere als ein ruhiges Wochenende.
▻https://github.com/YfryTchsGD/Log4jAttackSurface
Intro
Log4j impact on manufacturers and components summary from the Internet community. If Manufacturer or Component is not verified, it does not have screenshots or references to prove that it is affected.
The List
Manufacturer/Component Notes Verified
Apple TRUE
Tencent TRUE
Steam TRUE
Twitter TRUE
Baidu TRUE
DIDI TRUE
JD TRUE
NetEase TRUE
CloudFlare TRUE
Amazon TRUE
Tesla TRUE
Apache Solr TRUE
Apache Druid TRUE
Apache Flink FALSE
Apache Struts2 TRUE
flume FALSE
dubbo FALSE
IBM Qradar SIEM TRUE
PaloAlto Panorama TRUE
Redis FALSE
logstash FALSE
ElasticSearch TRUE
kafka FALSE
ghidra TRUE
ghidra server TRUE
Minecraft TRUE
PulseSecure TRUE
UniFi TRUE
VMWare TRUE
Blender TRUE
Google TRUE
Webex TRUE
LinkedIn TRUE
VMWarevCenter TRUE
Speed camera LOL TRUE