Die nächste Welle von Log4J-Angriffen wird brutal
Die nächste Welle von Log4J-Angriffen wird brutal
ball geht rotes papier hinunter
Vor einer Woche, das Internet
erlebte ein seismisches Ereignis. Dank einer Schwachstelle in
Log4j,einer beliebten Open-Source-Bibliothek, waren plötzlich zahlreiche
Server auf der ganzen Welt relativ einfachen Angriffen ausgesetzt. Die
erste Hacking-Welle ist in vollem Gange. Aber es ist das, was als
nächstes kommt, das Sie beunruhigen sollte.
Bisher bestand die Avantgarde
des Log4j-Hackings hauptsächlich aus Cryptominern, Malware, die
Ressourcen aus einem betroffenen System abzieht, um Kryptowährung zu
minen. (Diese waren vor ein paar Jahren sehr beliebt, bevor jeder
erkannte, dass das echte Geld in Ransomware ist.) Einige
nationalstaatliche Spione haben sich auch versucht, laut jüngsten
Berichten von Microsoft und anderen. Was scheinbar fehlt, ist die
Erpressung, die Ransomware, die störenden Angriffe, die so viel von den
letzten zwei Jahren oder so definiert haben. Das wird nicht lange so
bleiben.
Hype ist in der Welt der
Cybersicherheit endemisch, ebenso wie die Ausbreitung von Angst,
Unsicherheit und Zweifel. Viel Software hat Fehler; sie können nicht
alle so schlimm sein. In jeder Hinsicht wird die Log4j-Schwachstelle –
auch bekannt als Log4Shell – dem Hype jedoch aus einer Vielzahl von
Gründen gerecht. Erstens ist die Allgegenwart von Log4j selbst. Als
Protokollierungsframework hilft es Entwicklern, den Überblick darüber zu
behalten, was in ihren Apps vor sich geht. Da es Open Source und
zuverlässig ist, ist es zur Standardpraxis geworden, Log4j
anzuschließen, anstatt eine eigene Protokollierungsbibliothek von Grund
auf neu zu erstellen. Darüber hinaus wird so viel moderne Software aus
verschiedenen Anbietern und Produkten zusammengeschustert, dass es für
viele potenzielle Opfer schwierig, wenn nicht gar unmöglich sein kann,
überhaupt das volle Ausmaß ihrer Exposition zu kennen. Wenn die innerste
Matrjoschka-Puppe Ihres Codes Log4j ausführt, viel Glück beim Finden.
Aber warten Sie, es gibt noch
mehr! Log4Shell ist auch relativ trivial auszunutzen. Senden Sie einfach
ein bösartiges Stück Code und warten Sie, bis es protokolliert wird.
Sobald das passiert, herzlichen Glückwunsch; Sie können jetzt den
gewünschten Code remote auf dem betroffenen Server ausführen.
(Vorbehalte: Dies ist die Kurzversion. In der Praxis ist es etwas
komplizierter. Außerdem scheinen Log4j-Versionen vor 2.0 nicht betroffen
zu sein, obwohl es dort einige Diskussionen gibt.)
Es ist diese Kombination aus
Strenge, Einfachheit und Allgegenwärtigkeit, die die
Sicherheitsgemeinschaft erschüttert. "Es ist bei weitem die größte und
kritischste Schwachstelle aller Zeiten", sagt Amit Yoran, CEO des
Cybersicherheitsunternehmens Tenable und Gründungsdirektor von US-CERT,
der Organisation, die für die Koordinierung der öffentlich-privaten
Reaktion auf digitale Bedrohungen verantwortlich ist.
Bisher scheint sich dieses
Unglück jedoch nur langsam zu manifestieren. Hacker zielen absolut auf
Log4j ab; Die Sicherheitsfirma Check Point hat laut Sprecher Ekram Ahmed
seit Freitag über 1,8 Millionen Versuche gesehen, die Schwachstelle
auszunutzen. An einigen Stellen haben sie über 100 Versuche pro Minute
gesehen. Und staatlich geförderte Gruppen aus China und dem Iran wurden
gesichtet, die Log4Shell nutzen, um in verschiedenen Zielen Fuß zu
fassen. Dennoch herrschen vorerst Kryptominer.
"Bergleute sind in der Regel
die ersten, die sich auf diese Dinge stürzen, weil sie die risikoärmste
Form der Cyberkriminalität sind", sagt Sean Gallagher, Senior Threat
Researcher beim Cybersicherheitsunternehmen Sophos. "Sie erfordern nicht
viel Hacking über das Eindringen hinaus, sie erfordern nicht viele
praktische Tastaturkenntnisse, um sie einzusetzen. Sie sind in der Regel
verpackt und einsatzbereit. alles, was sie brauchen, ist eine
Verletzlichkeit, mit der sie sich einlassen können."
https://www.wired.com/story/log4j-log4shell-vulnerability-ransomware-second-wave/