Neuer lokaler Angriffsvektor erweitert die Angriffsfläche der Log4j-Sicherheitslücke
Neuer lokaler Angriffsvektor erweitert die Angriffsfläche der Log4j-Sicherheitslücke
Cybersicherheitsforscher haben einen völlig neuen Angriffsvektor entdeckt, der es Angreifern ermöglicht, die Log4Shell-Sicherheitslücke auf Servern lokal über eine JavaScript-WebSocket-Verbindung auszunutzen.
Mit diesem Angriffsvektor ist jeder mit einer anfälligen Log4j-Version in der Lage, auf seinem Computer oder lokalen privaten Netzwerk eine Website zu durchsuchen und möglicherweise die Schwachstelle auszulösen. Dieser Vektor erweitert die Angriffsfläche erheblich und kann sogar Dienste beeinträchtigen, die als localhost ausgeführt werden und keinem Netzwerk ausgesetzt waren.
WebSockets ermöglichen im Gegensatz zu HTTP, bei dem der Client die Anforderung und der Server die Antwort sendet, eine bidirektionale Kommunikation zwischen einem Webbrowser (oder einer anderen Clientanwendung) und einem Server.
Das Problem kann zwar behoben werden, indem alle lokalen Entwicklungs- und Internetumgebungen auf Log4j 2.16.0 aktualisiert werden, Apache hat jedoch am Freitag die Version 2.17.0 veröffentlicht, die eine Denial-of-Service (DoS) -Schwachstelle behebt, die als CVE-2021- verfolgt wird. 45105 (CVSS-Score: 7,5) ist damit der dritte Log 4j2-Fehler, der nach CVE-2021-45046 und CVE-2021-44228 bekannt wird .
Hier finden Sie eine vollständige Liste der Fehler, die bisher im Logging-Framework entdeckt wurden, nachdem der ursprüngliche Log4Shell- Fehler bei der Remote-Codeausführung bekannt wurde:
- CVE-2021-44228(CVSS-Score: 10.0) – Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, die Log4j-Versionen von 2.0-beta9 bis 2.14.1 betrifft (in Version 2.15.0 behoben).
- CVE-2021-45046(CVSS-Score: 9.0) – Eine Sicherheitslücke bezüglich Informationslecks und Remotecodeausführung, die Log4j-Versionen von 2.0-beta9 bis 2.15.0 betrifft, außer 2.12.2 (in Version 2.16.0 behoben).
- CVE-2021-45105(CVSS-Score: 7,5) – Eine Denial-of-Service-Schwachstelle, die Log4j-Versionen von 2.0-beta9 bis 2.16.0 betrifft (in Version 2.17.0 behoben).
- CVE-2021-4104(CVSS-Score: 8,1) – Ein nicht vertrauenswürdiger Deserialisierungsfehler, der die Log4j Version 1.2 betrifft (Kein Fix verfügbar; Upgrade auf Version 2.17.0).
Die neueste Entwicklung ist darauf zurückzuführen, dass eine Reihe von Bedrohungsakteuren die Log4j-Fehler aufgehäuft haben, um eine Vielzahl von Angriffen durchzuführen, darunter Ransomware-Infektionen, die die in Russland ansässige Conti-Gruppe und einen neuen Ransomware-Stamm namens Khonsari betreffen. Darüber hinaus hat der Log4j-Fehler bei der Remote-Codeausführung auch die Tür zu einer dritten Ransomware-Familie namens TellYouThePass geöffnet, die laut Forschern von Sangfor und Curated Intel bei Angriffen auf Windows- und Linux-Geräte eingesetzt wird.
Es wird dringend empfohlen, schnell zu handeln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat kurzfristige Schutzmaßnahmen veröffentlicht, die die Schwachstelle zwar nicht schließen, ihre Ausnutzung aber verhindern oder erschweren können. Darüber hinaus sollten die Detektions- und Reaktionsmaßnahmen gestärkt werden. Mehr Informationen finden Sie auf der Website des BSI: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/log4j-Schwachstelle-2021/log4j_Schwachstelle_Detektion_Reaktion.html?nn=520690.