Seit letzter Woche ist eine schwere Sicherheitslücke namens Log4Shell bekannt. Es handelt sich hierbei um einen Zero Day Exploit, also eine Schwachstelle, die existiert, aber nicht bekannt war.
Was genau macht Log4Shell?
Java ist eine der an den häufigsten verwendeten Programmiersprachen für Web- und Anwendungssoftware. Um effizient Anwendungen entwickeln zu können werden Komponenten genutzt, die von Drittanbietern bereitgestellt werden. So z.B. Log4J. Bei Log4J handelt es sich um eine Erweiterung für Java, die bei der Protokollierung von Ereignissen eingesetzt wird. Protokolliert wird alles, was der Entwickler für sinnvoll hält. Das kann beispielsweise die Eingabe von Werten in Formulare oder die Anfrage einer URL an einen Webserver sein.
Durch einen Fehler in Log4J kann eine Server Adresse an eine Anwendung übergeben werden. Diese Server Adresse wird durch Log4J aufgerufen und der Code, der sich an dieser Adresse befindet, wird aufgerufen. Das ermöglicht einem Angreifer beispielsweise die Verwendung einer Reverse Shell. Ein Angreifer startet dafür Programm A bereit, welches darauf wartet, dass eine Verbindung zu Programm A aufgebaut wird. Der Code, der von Log4J, vom Server des Angreifers abgefragt wird macht nichts anderes, als eine Verbindung zu Programm A des Angreifers aufzubauen. Wurde die Verbindung aufgebaut, so hat der Angreifer einen direkten Zugang zum IT-Netzwerk des betroffenen Unternehmens.
Was sind die Folgen?
Durch das Ausführen von beliebigem Code im Unternehmen kann ein Angreifer eine Kommunikationsverbindung zum Firmennetzwerk aufbauen. Von dem Server auf dem Log4J läuft kann er beginnen weitere unerwünschte Aktionen durchzuführen. Diese kann zum Beispiel sein, die gesamte IT-Infrastruktur zu verschlüsseln und ein Lösegeld zu erpressen.
Schutz vor Log4Shell
Die Frage, die sich jetzt stellt, ist die folgende: Was hätte man tun können, um Angriffe durch die Log4J Schwachstelle zu erkennen?
Die einfachste Antwort wäre, die Log4J Schwachstelle zu kennen und entsprechende Updates durchzuführen. Das geht allerdings erst, nachdem die Zero-Day Schwachstelle auch den Herstellern von Software bekannt ist und nachdem diese Updates für ihre Software zur Verfügung gestellt haben. Wenn man sich als Unternehmen vor solchen Schwachstellen besser schützen möchte, muss man etwas grundsätzliches an seiner Sicherheits-Architektur verbessern. Damit wir uns im Unternehmen schützen können, müssen wir zunächst verstehen, wie wir diese Art von Angriffen erkennen können. Wenn ein Angreifer die Log4J Schwachstelle ausnutzt, dann wird er versuchen eine Command and Control Verbindung zu einem von ihm kontrollierten Server aufzubauen, um Malware schließlich herunterzuladen. CVE-2021-44228: https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Wenn Ihnen dieses Video gefallen hat, dann hinterlassen Sie einen Like und abonnieren Sie meinen Kanal:
Kanal abonnieren
