{"id":270556,"date":"2022-07-17T00:11:00","date_gmt":"2022-07-16T22:11:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=270556"},"modified":"2022-07-16T09:40:25","modified_gmt":"2022-07-16T07:40:25","slug":"log4j-schwachstelle-mittelstand-schlft-dhs-sieht-problem-fr-jahre","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/07\/17\/log4j-schwachstelle-mittelstand-schlft-dhs-sieht-problem-fr-jahre\/","title":{"rendered":"Log4J-Schwachstelle: Mittelstand schläft, DHS sieht Problem für Jahre"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die in Java ausnutzbare Log4Shell-Schwachstelle in der Log4j-Bibliothek steckt mutma\u00dflich in vielen Systemen bzw. Software-Paketen. Das Problem d\u00fcrfte uns noch f\u00fcr Jahre tangieren, sch\u00e4tzen Experten und im deutschen Mittelstand ist das noch nicht angekommen. Auch das Department of Homeland Security (DHS) hat die Woche das Thema Log4j erneut in einer Empfehlung aufgegriffen.<\/p>\n

<\/p>\n

Die Log4J-Schwachstelle<\/h2>\n

\"\"Log4j ist eine JAVA-Bibliothek, die in zahlreichen JAVA-Paketen verwendet wird. In der Bibliothek log4j wurde 2021 die Schwachstelle CVE-2021-44228<\/a> in der JNDI-Lookup-Funktion entdeckt. Die JNDI-Lookup-Funktion von log4j erm\u00f6glicht den Abruf von Variablen \u00fcber das JNDI \u2013 Java Naming and Directory Interface. Ich hatte ja im Blog-Beitrag 0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter<\/a> \u00fcber die Schwachstelle, die zahlreiche Systeme betrifft, berichtet.<\/p>\n

Am 9. Dezember 2021 wurde ein Proof of Concept<\/a> (PoC) f\u00fcr die Remote Code Execution-Schwachstelle in log4j ver\u00f6ffentlicht. Der PoC ben\u00f6tigt nur wenige Zeilen Code mit dem eine Zeichenkette in Form einer URL in die Protokolldatei schreibt. Der Verzeichnisdienst JNDI kontaktiert darauf hin den im Protokoll aufgef\u00fchrten LDAP-Server, um von diesem Daten anzufordern. Das kann auch Java-Klassen umfassen, die dann ausgef\u00fchrt werden. Gelingt es einem Angreifer die URL auf einen von ihm kontrollierten Server in der Protokolldatei anzugeben, kann er einen Server \u00fcber das Logging kapern (Log4Shell).<\/p>\n

DHS warnt vor Log4j<\/h2>\n

Es gibt zwar seit 2021 Updates f\u00fcr die Schwachstelle CVE-2021-44228<\/a> und es wurden in den folgenden Wochen auch (erfolgreiche) Angriffe beobachtet. Aber viele Firmen und\u00a0 Beh\u00f6rden haben die Bedrohung durch die Schwachstelle noch nicht erkannt und betroffene Anwendungen oder Ger\u00e4te nicht gepatcht.<\/p>\n

\"Log4j<\/a><\/p>\n

Fachleute gehen daher davon aus, dass die Schwachstelle uns noch Jahrzehnte besch\u00e4ftigen k\u00f6nnte (siehe z.B. Log4j in Embedded-Ger\u00e4ten (Connected Cars, Ladestationen etc.)<\/a>, sowie diesen Artikel<\/a> von The Register sowie diesen Artikel<\/a> aus obigem Tweet<\/a>). Das Department of Homeland Security (DHS) hat die Woche das Thema Log4j in einem Review der Dezember 2021-Ereignisse<\/a> erneut aufgegriffen<\/a> und gibt Empfehlungen – die auch in obigem Tweet und den verlinkten Artikeln am Artikelende thematisiert werden.<\/p>\n

<\/a><\/p>\n

\n
\n
\n

Auch der Sicherheitsanbieter Horizon3AI erinnert in nachfolgendem Tweet<\/a> an die Log4j-Schwachstelle und die Log4Shell-Angriffe, die beobachtet<\/a> wurden.<\/p>\n

\"Log4Shell\"<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n

Nachholbedarf bei Log4J im Mittelstand<\/h2>\n

Die unter dem Namen \u201eLog4J\" bekannt gewordene Sicherheitsl\u00fccke k\u00f6nnte in zahlreichen deutschen Unternehmen noch zu Sch\u00e4den f\u00fchren. Darauf deuten Ergebnisse einer Umfrage<\/a> im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) hin.<\/p>\n

\"Log4j-Schwachstelle\"<\/a><\/p>\n

\"Nur 40 Prozent der mittelst\u00e4ndischen Unternehmen haben nach dem Bekanntwerden der Sicherheitsl\u00fccke ihre Software \u00fcberpr\u00fcft\", sagt GDV-Hauptgesch\u00e4ftsf\u00fchrer J\u00f6rg Asmussen. Nur 28 Prozent der repr\u00e4sentativ von Forsa befragten mittelst\u00e4ndischen Unternehmen gaben an, zus\u00e4tzlich die eigenen Systeme auf bereits eingedrungene Schadsoftware untersucht zu haben.<\/p>\n

Warnung ist in weiten Teilen des Mittelstands ungeh\u00f6rt verhallt<\/h3>\n

\"Die Unternehmen d\u00fcrfen eine solche Schwachstelle und die lauten und klaren Warnungen davor nicht einfach ignorieren\", sagt Asmussen. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hatte nach dem Bekanntwerden der Sicherheitsl\u00fccke im Dezember 2021 die h\u00f6chste Alarmstufe ausgerufen und von einer \u201eextrem kritischen Bedrohungslage\" gesprochen habe. \u201eWer darauf nicht reagiert, ist beim Thema IT-Sicherheit zu sorglos \u2013 oder hat zu wenig Know-how\", so Asmussen. Im Zweifel k\u00f6nnten Unternehmen auch ihren Cyber-Versicherungsschutz verlieren, wenn Hacker \u00fcber eine lange bekannte, aber dennoch nicht geschlossene IT-Sicherheitsl\u00fccke angreifen. Roger Scheer, Regional Vice President f\u00fcr den Bereich Zentraleuropa bei Tenable kommentiert dazu:<\/p>\n

Als Log4Shell (CVE-2021-44228) vor \u00fcber sechs Monaten zum ersten Mal identifiziert wurde, ersch\u00fctterte es die IT-Sicherheitscommunity. Die Tatsache, dass \u00fcber ein halbes Jahr sp\u00e4ter mehr als die H\u00e4lfte der deutschen Mittelst\u00e4ndler immer noch im Dunkeln dar\u00fcber ist, ob es in ihrer Software betroffen und somit ein Sicherheitsrisiko ist, ist besorgniserregend.<\/p>\n

Das Problem ist, dass, obwohl es wirklich schwierig ist, alle Anwendungen und Diensten zu durchforsten, welche die anf\u00e4llige Bibliothek nutzen, es f\u00fcr Kriminelle zugleich einfach ist, sie gegebenenfalls auszunutzen. Im Dezember, als die Schwachstelle erstmals identifiziert wurde, stellte die Telemetrie von Tenable fest, dass 10 % aller bewerteten Assets anf\u00e4llig waren \u2013 das sind nicht 10 % der Organisationen, aber 10 % der dort eingesetzten Anwendungen und damit verbundenen Devices – einschlie\u00dflich einer Vielzahl von Servern, Webanwendungen, Containern und IoT-Ger\u00e4ten. Jedes zehnte Element unserer digitalen Infrastruktur hatte damals das Potenzial f\u00fcr den Missbrauch durch Log4Shell.<\/p>\n

Angesichts der einfachen Ausnutzbarkeit und der breiten verf\u00fcgbaren Angriffsfl\u00e4che werden Angreifer die Schwachstelle weiterhin nutzen, um Fu\u00df zu fassen, um gezielte Sicherheitsverletzungen auszul\u00f6sen oder opportunistische Ransomware-Angriffe zu automatisieren, es sei denn, Unternehmen gehen Log4j nun endlich proaktiv an.<\/p><\/blockquote>\n

Cyberkriminelle k\u00f6nnten auch Monate nach der Erstinfektion zuschlagen<\/h3>\n

Cyberkriminelle hatten die Log4J-Schwachstelle bereits f\u00fcr unterschiedliche Angriffsformen ausgenutzt. Teilweise missbrauchten sie die Rechenleistung betroffener Systeme zur Errechnung von Krypto-W\u00e4hrungen wie Bitcoin, integrierten die Rechner in Bot-Netze f\u00fcr DDoS-Angriffe oder verschl\u00fcsselten Daten, um L\u00f6segeld zu erpressen. Dar\u00fcber hinaus besteht die Gefahr, dass die Schwachstelle bereits vor einem Sicherheitsupdate f\u00fcr eine Erstinfektion mit Schadsoftware genutzt wurde. Dann k\u00f6nnten Angreifer die IT-Systeme auch nach dem Schlie\u00dfen der Sicherheitsl\u00fccke weiter attackieren. Um solche Angriffe zu verhindern, sollten die gesicherten IT-Systeme eingehend auf etwaige Schadsoftware \u00fcberpr\u00fcft werden.<\/p>\n

Hintergrund: Die Initiative CyberSicher<\/h3>\n

Mit der Initiative CyberSicher nimmt der GDV die IT-Risiken des Mittelstandes unter die Lupe und zeigt, wie sich kleine und mittlere Unternehmen sch\u00fctzen k\u00f6nnen. In diesem Rahmen beauftragt der GDV die Forsa Gesellschaft f\u00fcr Sozialforschung und statistische Analysen mbH seit 2018 mit einer repr\u00e4sentativen Befragung von 300 Entscheidern oder IT-Verantwortlichen von kleinen und mittleren Unternehmen. Die aktuellen Interviews fanden zwischen dem 16. M\u00e4rz und dem 25. April 2022 statt.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\n0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter<\/a>
\nGegenmittel f\u00fcr 0-day CVE-2021-44228 in Java log4j-Bibliothek<\/a>
\nlog4j-Schwachstelle CVE-2021-44228: Minecraft dringend patchen<\/a>
\nVMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht<\/a>
\nlog4j FAQ und Repository<\/a>
\nLog4j-News: New Schwachstelle, Bundesfinanzhof-Webseite down, viele Firmen ungepatcht<\/a>
\nLog4j-Sicherheits-Meldungen (28.12.2021)<\/a>
\nWindows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme<\/a>
\nRCE-Schwachstelle \u2013 \u00e4hnlich wie log4j \u2013 in H2 (Java) Datenbanksystem entdeckt<\/a>
\nAngriffe auf VMWare Horizon-Server mit log4j-Schwachstelle<\/a>
\nLog4j in Embedded-Ger\u00e4ten (Connected Cars, Ladestationen etc.)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die in Java ausnutzbare Log4Shell-Schwachstelle in der Log4j-Bibliothek steckt mutma\u00dflich in vielen Systemen bzw. Software-Paketen. Das Problem d\u00fcrfte uns noch f\u00fcr Jahre tangieren, sch\u00e4tzen Experten und im deutschen Mittelstand ist das noch nicht angekommen. Auch das Department of Homeland Security … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-270556","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270556","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=270556"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270556\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=270556"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=270556"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=270556"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}