
Threat Spotlight: Angriffe auf Log4Shell-Sicherheitslücken
Der Log4Shell-Komplex von Schwachstellen in der Log4J-Software ist nun schon seit mehr als zwei Monaten öffentlich bekannt. Das Forscherteam von Barracuda hat die von unseren Systemen seit dem 10. Dezember 221 erkannten Angriffe und Payloads analysiert und festgestellt, dass das Volumen der Angriffe, die diese Schwachstellen auszunutzen versuchen, mit einigen Einbrüchen und Spitzen in den letzten zwei Monaten relativ konstant geblieben ist. In Anbetracht der Beliebtheit der Software, der Ausnutzbarkeit der Schwachstelle und des Gewinns im Falle einer Kompromittierung erwarten wir, dass sich dieses Angriffsmuster zumindest kurzfristig fortsetzen wird.


Bedrohung im Fokus
Log4Shell-Schwachstellen — Log4j ist ein Java-basiertes Logging-Audit-Framework innerhalb von Apache. Apache Log4j <=2.14.1 JNDI-Funktionen, die in der Konfiguration, in Protokollnachrichten und in Parametern verwendet werden, schützen nicht vor LDAP und anderen JNDI-bezogenen Endpunkten, die von Angreifern kontrolliert werden. Ein Angreifer, der die Kontrolle über die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Lookup-Substitution für Nachrichten aktiviert ist. Die Schwachstelle betrifft die Standardkonfigurationen mehrerer Apache-Frameworks, darunter Apache Struts2, Apache Solr, Apache Druid und Apache Flink, die von zahlreichen Unternehmen wie Apple, Amazon, Cloudflare, Twitter und Steam genutzt werden.
Die Schwachstelle wird durch das Senden eines bestimmten Strings an die Log4j-Software ausgelöst, was bedeutet, dass sie einfach auszunutzen ist. Außerdem gibt es wegen der breiten Nutzung dieser Software mehrere Angriffsvektoren.
Die Details
Sehen wir uns einige Beispiele für die Payloads an, die in den letzten Monaten für die Ausnutzung dieser Schwachstellen verwendet wurden.
Im ersten Fall handelt es sich um eine relativ harmlose (oder, je nach Sichtweise, sehr lästige) Payload:

Nach einigen Recherchen haben wir diese Java-Payload gefunden:

Cryptomining-Payloads
Das zweite Beispiel ist etwas, von dem wir in den frühen Tagen nach dem ersten Auftreten der Schwachstellen viel gesehen haben — eine Monero Miner-Payload. Sie ging von mehreren verschiedenen IP-Adressen aus, wobei die Befehle in der Regel mit Base64 verschleiert wurden:



Angriffe auf VMware-Installationen
Im Laufe der Zeit wurden Berichte bekannt, dass die Ransomware-Gruppe Conti versucht, VMware-Installationen mithilfe von Log4Shell-Schwachstellen zu kompromittieren. Unseres Wissens handelt es sich dabei meist um laterale Bewegungen innerhalb eines Netzwerks. Wir haben nicht viele Beispiele für Ransomware-Angriffe auf VMware-Installationen gesehen und gehen davon aus, dass es sich hierbei eher um eine Insider-Bedrohung handelt. Allerdings haben wir in unseren Protokollen noch einige andere Versuche festgestellt, diese Installationen zu infizieren. Zum Beispiel:



DDoS-Malware
In unserem letzten Beispiel betrachten wir eine andere Art von DDoS-Malware:



So schützen Sie sich vor dieser Art von Payloads
Der beste Weg, sich speziell gegen Log4Shell zu schützen, ist ein Upgrade auf die neueste Version von Log4j. Aktuelle Software und Bibliotheken zu verwenden, trägt dazu bei, dass Schwachstellen zeitnah gepatcht werden.Aufgrund der wachsenden Anzahl von Schwachstellen in Web-Applikationen wird es immer aufwändiger, sich vor Angriffen zu schützen. Inzwischen gibt es jedoch Komplettlösungen, die Ihre Web-Applikationen davor schützen, dass diese Schwachstellen ausgenutzt werden. WAF/WAF-as-a-Service-Lösungen, auch bekannt als WAAP-Services (Web Application and API-Protection), können zum Schutz Ihrer Web-Applikationen beitragen, indem sie alle aktuellen Sicherheitslösungen in einem einfach zu bedienenden Produkt bereitstellen.