{"id":260669,"date":"2021-12-17T15:35:54","date_gmt":"2021-12-17T14:35:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260669"},"modified":"2024-08-23T22:07:20","modified_gmt":"2024-08-23T20:07:20","slug":"log4j-news-new-schwachstelle-bundesfinanzhof-webseite-down-viele-firmen-ungepatcht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/17\/log4j-news-new-schwachstelle-bundesfinanzhof-webseite-down-viele-firmen-ungepatcht\/","title":{"rendered":"Log4j-News: New Schwachstelle, Bundesfinanzhof-Webseite down, viele Firmen ungepatcht"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/12\/18\/log4j-news-2021-12-18\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Die log4j-Schwachstelle CVE-2021-44228 verursacht immer neue Schockwellen. Neueste Berichte besagen, dass ein Gro\u00dfteil der Firmen die Schwachstelle in ihrer Software nicht gepatcht hat. Die Webseite des Bundesfinanzhofs ist wegen eines log4j-Angriffs gerade offline genommen worden. Zudem ist eine neue DoS-Schwachstelle in der Bibliothek gefunden worden, gegen die es noch keinen Patch gibt. Derweil laufen die Angriffe zu immer neuen H\u00f6chstst\u00e4nden. Hier ein \u00dcberblick zum Wochenabschluss.<\/p>\n<p><!--more--><\/p>\n<h2>100.000 blockierte Angriffe\/Minute<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/2e6ab77883cb4138bbf992d075b80d17\" alt=\"\" width=\"1\" height=\"1\" \/>F\u00fcr die Welt der Cyberkriminellen ist die log4j-Schwachstelle CVE-2021-44228 ein gefundenes Fressen. Binnen weniger Stunden wurden die Exploits zur Infektion von verwundbaren Systemen eingesetzt. Gem\u00e4\u00df folgendem <a href=\"https:\/\/twitter.com\/jgrahamc\/status\/1471535627086839825\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> haben die Scans am 16. Dezember 2021 neue H\u00f6chstst\u00e4nde erreicht. Es wurden \u00fcber 100.000 Lock4Shell-Angriffe pro Minute blockiert.<\/p>\n<p><a href=\"https:\/\/twitter.com\/jgrahamc\/status\/1471535627086839825\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Log4Shell attacks\" src=\"https:\/\/i.imgur.com\/R8T7wlF.png\" alt=\"Log4Shell attacks\" \/><\/a><\/p>\n<p>Von CheckPoint habe ich aktuelle <a href=\"https:\/\/web.archive.org\/web\/20230307020522\/https:\/\/blog.checkpoint.com\/2021\/12\/13\/the-numbers-behind-a-cyber-pandemic-detailed-dive\/\" target=\"_blank\" rel=\"noopener\">Zahlen<\/a> \u00fcber Angriffe bekommen. In weniger als einer Woche hat Check Point mehr als 1,8 Millionen Versuche verzeichnet, die Log4J-Schwachstelle auszunutzen.<\/p>\n<ul>\n<li>In Deutschland wurden mittlerweile 53 Prozent aller von Check Point erfassten Firmen-Netzwerke attackiert.<\/li>\n<li>In \u00d6sterreich bel\u00e4uft sich die Zahl schon auf 57 Prozent, in der Schweiz auf 47 Prozent.<\/li>\n<li>Weltweit liegt der Schnitt jetzt bei 46 Prozent, in Europa bei 51.<\/li>\n<li>H\u00e4ndler und Systemintegratoren sind mit 59 Prozent weltweit am st\u00e4rksten betroffen.<\/li>\n<\/ul>\n<p>Gem\u00e4\u00df <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1471827266594164742\" target=\"_blank\" rel=\"noopener\">diesem Tweet<\/a>, der auf <a href=\"https:\/\/blogs.juniper.net\/en-us\/threat-research\/log4j-vulnerability-attackers-shift-focus-from-ldap-to-rmi\" target=\"_blank\" rel=\"noopener\">einen Juniper-Blog-Beitrag<\/a> verweist, \u00e4ndern die Angreifer ihre Strategie. Statt log4j-Angriffe per LDAP (Lightweight Directory Access Protocol) durchzuf\u00fchren, versuchen Sie Angriffe \u00fcber RMI (Remote Method Invocation). RMI ist ein Mechanismus, der es einem Objekt, das sich in einer Java Virtual Machine (JVM) befindet, erm\u00f6glicht, auf ein Objekt zuzugreifen, das auf einer anderen JVM l\u00e4uft, oder es aufzurufen.<\/p>\n<h2>Keine log4j-Patches in vielen Firmen<\/h2>\n<p>Obwohl die Schwachstelle bereits seit einer Woche bekannt ist, haben viele gr\u00f6\u00dfere Firmen es noch nicht geschafft, ihre Software mit Patches zum Schlie\u00dfen der log4j-Schwachstelle zu sch\u00fctzen. Das geht aus <a href=\"https:\/\/www.reuters.com\/technology\/major-tech-companies-struggle-plug-holes-logging-software-2021-12-16\/\" target=\"_blank\" rel=\"noopener\">diesem Reuters-Artikel<\/a> hervor, auf den folgender <a href=\"https:\/\/twitter.com\/josephmenn\/status\/1471557634029342720\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> hinweist.<\/p>\n<p><a href=\"https:\/\/twitter.com\/josephmenn\/status\/1471557634029342720\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"log4j patch status\" src=\"https:\/\/i.imgur.com\/t2bA5qg.png\" alt=\"log4j patch status\" \/><\/a><\/p>\n<p>Cisco Systems, IBM, VMware und Splunk\u00a0 geh\u00f6rten zu den Unternehmen, die am Donnerstag mehrere fehlerhafte Softwareprodukte im Einsatz hatten, f\u00fcr die keine Patches f\u00fcr die Log4j-Schwachstelle verf\u00fcgbar waren, wie eine von der US-Beh\u00f6rde f\u00fcr Cybersicherheit und Infrastruktursicherheit ver\u00f6ffentlichte \u00dcbersicht zeigt. Kevin Beaumont, Analyst f\u00fcr Sicherheitsbedrohungen, der f\u00fcr die CISA an der Erstellung der Liste mitwirkte, sagt dazu:<\/p>\n<blockquote><p>Viele Anbieter haben keine Sicherheits-Patches f\u00fcr diese Schwachstelle. Software-Anbieter m\u00fcssen bessere und \u00f6ffentlich zug\u00e4ngliche Verzeichnisse \u00fcber die Nutzung von Open-Source-Software f\u00fchren, damit es einfacher ist, das Risiko einzusch\u00e4tzen &#8211; sowohl f\u00fcr sie selbst als auch f\u00fcr ihre Kunden.<\/p><\/blockquote>\n<p>Mit Stand vom Donnerstag enthielt die CISA-Liste etwa 20 Cisco-Produkte, die ohne einen verf\u00fcgbaren Patch angreifbar sind. Darunter befinden sich Cisco WebEx Meetings Server und Cisco Umbrella, ein Cloud-Sicherheitsprodukt.<\/p>\n<p>Bei VMware werden die Sicherheitshinweise st\u00e4ndig aktualisiert, es gibt Dutzende betroffene Produkte. Hat mit log4j zwar nichts zu tun, aber wer VMware Workspace ONE UEM einsetzt, sollte sich den Sicherheitshinweis VMSA-2021-0029 vom 16.12.2021 ansehen. Dort gibt es einen SSRF-Schwachstelle CVE-2021-22054, die mit dem CVSSv3-Wert 9.1 versehen ist. Angreifer k\u00f6nnen ohne Authentifizierung sensitive Informationen abgreifen (<a href=\"https:\/\/www.theregister.com\/2021\/12\/17\/vmware_criticial_uem_flaw\/\" target=\"_blank\" rel=\"noopener\">siehe auch<\/a>).<\/p>\n<h2>Webseite des Bundesfinanzhofs offline<\/h2>\n<p>Ein log4j-Angriff auf den Webauftritt des Bundesfinanzhofs hat dazu gef\u00fchrt, dass die Webseite heute offline gegangen ist. Das berichtet heise in <a href=\"https:\/\/www.heise.de\/news\/Webseite-des-Bundesfinanzhof-nach-Log4j-Angriff-offline-6298217.html\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a>, auf den dieser <a href=\"https:\/\/twitter.com\/heisec\/status\/1471831604612014091\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> verweist.<\/p>\n<p><a href=\"https:\/\/twitter.com\/heisec\/status\/1471831604612014091\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"log4j: Webseite des Bundesfinanzhofs offline\" src=\"https:\/\/i.imgur.com\/xK57Eyo.png\" alt=\"log4j: Webseite des Bundesfinanzhofs offline\" \/><\/a><\/p>\n<p>Der Angriff sei erfolgreich abgewehrt und gestoppt worden. Das interne Intranet noch Daten aus Steuerverfahren seien betroffen, hei\u00dft es.<\/p>\n<h2>CISA-Anleitung zur Analyse<\/h2>\n<p>Von der US Sicherheitsbeh\u00f6rde CISA gibt es <a href=\"https:\/\/www.cisa.gov\/uscert\/apache-log4j-vulnerability-guidance\" target=\"_blank\" rel=\"noopener\">diese Anleitung<\/a> f\u00fcr Firmen und Beh\u00f6rden, wie bei der Analyse der log4j-Schwachstelle CVE-2021-44228 umzugehen sei. Will Dormann weist in nachfolgendem <a href=\"https:\/\/twitter.com\/wdormann\/status\/1471826924108500998\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> auf dieses Dokument hin.<\/p>\n<p><a href=\"https:\/\/twitter.com\/wdormann\/status\/1471826924108500998\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"CISA about log4j CVE-2021-44228 \" src=\"https:\/\/i.imgur.com\/PRJbeZe.png\" alt=\"CISA about log4j CVE-2021-44228 \" \/><\/a><\/p>\n<p>Abhilfema\u00dfnahmen wurden auch <a href=\"https:\/\/web.archive.org\/web\/20230328041344\/https:\/\/blog.checkpoint.com\/2021\/12\/11\/protecting-against-cve-2021-44228-apache-log4j2-versions-2-14-1\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> von CheckPoint beschrieben. Mittlerweile greifen auch staatliche Akteure verwundbare Systeme an. Cyberkriminelle versuchen Ransomware oder Cryptominer in die Systeme einzuschleusen.<\/p>\n<p>Sicherheitsanbieter Vectra sieht in Sicherheitsl\u00fccken wie Log4j einen weiteren drastischer Beleg, dass Pr\u00e4vention und Patches nicht ausreichen. Andreas Riepen von Vectra argumentiert:<\/p>\n<ul>\n<li><b>Es ist unm\u00f6glich, alles mit Dringlichkeit zu patchen:<\/b> Die Angriffsfl\u00e4che ist sehr gro\u00df. Das betroffene Modul von Log4j wird von einer Vielzahl von Software und Produkten verwendet. Es ist schon schwierig, herauszufinden, wo es verwendet wird! Ganz zu schweigen von dem Versuch, es zu patchen. Au\u00dferdem sind Unternehmen von den Herstellern abh\u00e4ngig, die ihnen Patches f\u00fcr ihre Produkte zur Verf\u00fcgung stellen. Bei einigen werden sie sehr lange warten m\u00fcssen und wahrscheinlich nie 100 Prozent erreichen.<\/li>\n<li>2. <b>EDR (Endpoint Detection &amp; Response) kann weder den ersten Exploit stoppen, noch kann es eine vollst\u00e4ndige Abdeckung bieten:<\/b> Alle EDR-Anbieter sprechen davon, nach dem Download oder dem Verhalten <i>nach<\/i> der Ausnutzung zu suchen. Au\u00dferdem betrifft dies eine Vielzahl von Tools und Produkten, auf denen kein EDR installiert werden kann \u2013 Router, Switches, Sicherheitsprodukte, Linux-Server etc.<\/li>\n<li>3. <b>SIEM () ist nicht geeignet, um danach zu suchen:<\/b> Es ist nicht garantiert, dass jede Anwendung die Felder protokolliert, in denen der Exploit-String zu sehen ist. Au\u00dferdem gelangen nicht alle Protokolle von jeder Anwendung in das SIEM. Man kann nicht suchen, was man nicht sehen kann.<\/li>\n<li>4. <b>Schnelle Entwicklung:<\/b> Der Angriff entwickelt sich schnell weiter. Angreifer werden dies auf vielerlei Weise nutzen. Es gibt bereits Versuche der Verschleierung, die an grundlegenden Signaturen vorbeigehen, um nach dem Exploit-String zu suchen.<\/li>\n<\/ul>\n<p>Riepen r\u00e4t Unternehmen daher: \u201eGehen Sie davon aus, dass Systeme kompromittiert sind, und seien Sie darauf vorbereitet, den Angriff in Echtzeit zu erkennen und darauf zu reagieren. Schlie\u00dfen Sie die EDR-L\u00fccke und \u00fcberwachen Sie zuverl\u00e4ssig jede Verbindung vom Netzwerk zur Cloud. Recall- und Stream-Daten k\u00f6nnen dabei helfen, jeden Versuch, dies auszunutzen, schnell zu erkennen. Moderne KI-Modelle f\u00fcr Cybersicherheit sind so konzipiert, dass sie die Methoden erkennen, die Angreifer nach einer Kompromittierung anwenden w\u00fcrden. Dar\u00fcber hinaus kann ein KI-basierter \u00dcberwachungsansatz die Bedrohung durch die Ausnutzung dieser Schwachstelle am schnellsten erkennen und entsch\u00e4rfen. Aus den oben genannten Gr\u00fcnden ist dies weder mit Pr\u00e4vention noch mit Patching zu leisten. F\u00fcr Unternehmen, die sich absichern und das Risiko mindern wollen, ist eine automatisierte und kontinuierliche \u00dcberwachung des Datenflusses die beste Investition, die sie t\u00e4tigen k\u00f6nnen.\"\u00a0 Hier gibt es noch <a href=\"https:\/\/web.archive.org\/web\/20230528190735\/https:\/\/www.vectra.ai\/blogpost\/cve-2021-44228-log4j-zero-day-affecting-the-internet\" target=\"_blank\" rel=\"noopener\">einen Blog-Beitrag<\/a> dazu.<\/p>\n<h2>T\u00e4glich neue Erkenntnisse, neue Schwachstelle<\/h2>\n<p>Die Halbwertszeit bestehender Erkenntnisse liegt oft bei Stunden. Hie\u00df es urspr\u00fcnglich, dass \u00e4ltere JAVA-Versionen der log4j nicht betroffen seien, ist das durch neue Exploit \u00fcberholt. Die Kollegen von Bleeping Computer haben <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/all-log4j-logback-bugs-we-know-so-far-and-why-you-must-ditch-215\/\" target=\"_blank\" rel=\"noopener\">diesen Artikel<\/a> ver\u00f6ffentlicht, der erkl\u00e4rt, warum man die\u00a0 log4j Version 2.15.0 nicht mehr verwenden soll und auf die log4j version 2.16.0 setzen muss.<\/p>\n<p><a href=\"https:\/\/twitter.com\/liamosaur\/status\/1471626232961716225\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"log4j DoS vulnerablity\" src=\"https:\/\/i.imgur.com\/DobQA4B.png\" alt=\"log4j DoS vulnerablity\" \/><\/a><\/p>\n<p>Gerade noch auf obigen <a href=\"https:\/\/twitter.com\/liamosaur\/status\/1471626232961716225\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> gesto\u00dfen, der eine neue Schwachstelle f\u00fcr log4j reklamiert, die DoS-Angriffe erlaubt. Hier ist aber unklar, ob das ausnutzbar ist.\u00a0<strong>Erg\u00e4nzung:<\/strong> Inzwischen hat apache<a href=\"https:\/\/logging.apache.org\/log4j\/2.x\/index.html\" target=\"_blank\" rel=\"noopener\">Log4j 2.17.0<\/a> f\u00fcr Java 8 und h\u00f6her freigegeben.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/12\/10\/0-day-in-java-log4j-bibliothek-tangiert-zahlreiche-anbieter\/\">0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/12\/11\/gegenmittel-fuer-0-day-cve-2021-44228-in-java-log4j-bibliothek\/\">Gegenmittel f\u00fcr 0-day CVE-2021-44228 in Java log4j-Bibliothek<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/12\/14\/log4j-schwachstelle-cve-2021-44228-minecraft-dringend-patchen\/\">log4j-Schwachstelle CVE-2021-44228: Minecraft dringend patchen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/12\/14\/vmware-produkte-durch-log4j-schwachstelle-cve-2021-44228-bedroht\/\">VMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/12\/14\/log4j-faq-und-repository\/\">log4j FAQ und Repository<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die log4j-Schwachstelle CVE-2021-44228 verursacht immer neue Schockwellen. Neueste Berichte besagen, dass ein Gro\u00dfteil der Firmen die Schwachstelle in ihrer Software nicht gepatcht hat. Die Webseite des Bundesfinanzhofs ist wegen eines log4j-Angriffs gerade offline genommen worden. Zudem ist eine neue DoS-Schwachstelle &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/17\/log4j-news-new-schwachstelle-bundesfinanzhof-webseite-down-viele-firmen-ungepatcht\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-260669","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260669","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260669"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260669\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260669"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260669"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260669"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}