[HOT] : Log4shell: Fünf Fragen, um die Panik um diesen kritischen Fehler zu verstehen

[HOT] : Log4shell: Fünf Fragen, um die Panik um diesen kritischen Fehler zu verstehen

Behörden und Cybersicherheitsexperten warnen vor den Folgen dieser Schwachstelle, die im Log4j-Modul entdeckt wurde, das von Millionen von Unternehmen auf der ganzen Welt verwendet wird.

Der Ton ist ernst. „Diese Sicherheitsanfälligkeit ist eine der schwerwiegendsten, die ich in meiner gesamten Karriere gesehen habe, wenn nicht die schwerwiegendste“, erklärte Jen Easterly, Direktorin der CISA (Cybersecurity and Infrastructure Security Agency Director), am Montag telefonisch. vor einem Gremium von Industriellen. Seit Donnerstag und der öffentlichen Enthüllung dieses Computerfehlers namens „Log4shell“ haben alle Bundesstaaten ihre Unternehmen und Verwaltungen auf die Gefahr aufmerksam gemacht. Erläuterungen.

Was ist dieser „Log4shell“-Fehler?

Die am vergangenen Donnerstag bekannt gewordene Sicherheitslücke betrifft ein Computermodul namens log4j. Es ist eine Open-Source-Softwarebibliothek der Apache Foundation, die in einer Vielzahl von Anwendungen und Geräten verwendet wird. Es findet sich sowohl in Office-Software als auch in Servern oder Bordsystemen wie Autos. Diese Bibliothek wird verwendet, um Computerereignisse zu ‚protokollieren‘, beispielsweise wenn ein Benutzer versehentlich ein falsches Kennwort eingibt. Daher ist es für Anwendungsadministratoren und Entwickler sehr nützlich, verschiedene Fehler oder problematische Ereignisse zu identifizieren und zu beheben. Es ist eine Referenz in der Computerwelt, daher seine sehr breite Verwendung in Anwendungen, die in der Sprache Java entwickelt wurden.

Forscher haben in diesem Modul eine Schwachstelle identifiziert, die, wenn sie ausgenutzt wird, „das Senden einer böswilligen Anfrage ermöglicht, die von Log4j als ‚Code wiederherstellen und für mich ausführen‘ interpretiert wird“, fasst Felix Aimé, Forscher, der sich auf die Erkennung von Bedrohungen für Sekoia spezialisiert hat, zusammen . Mit anderen Worten, ein Angreifer kann theoretisch und ganz einfach bösartigen Code aus der Ferne ausführen und optional sensible Daten extrahieren oder löschen, Ransomware installieren usw.

Warum ist sie so gruselig?

Aus mehreren Gründen. Erstens ist Log4j ein extrem gebrauchter Baustein. Die betroffene Schwachstelle betrifft potenziell eine sehr große Anzahl von Unternehmen und Organisationen auf der ganzen Welt. Es ist vor allem in sehr kritischen Geschäftsanwendungen präsent. Die Ausbeutung durch eine Gruppe professioneller Angreifer kann schwerwiegende Folgen haben. Daher das telefonische Briefing des Direktors von CISA mit Industrieführern. In Kanada gilt die Bedrohung als so ernst, dass einige Bundesbehörden vorsorglich Tausende von Online-Diensten deaktiviert haben.

In Frankreich hält es der Präsident von ANSSI Guillaume Poupard nicht für nötig, dies zu tun. Er macht sich vor allem Sorgen, dass der Fehler recht einfach auszunutzen ist, und wir stellen schnell fest, dass er schon seit langem von Cyberkriminellen entdeckt wird.

Organisationen jeder Größe sind daher aufgefordert, die von ANSSI empfohlenen Bypass-Maßnahmen so schnell wie möglich zu ergreifen und alle Einsatzorte von Log4J in ihrem Computersystem zu inventarisieren, um schnellstmögliche Aktualisierungen vornehmen zu können. Eine Volkszählung, die lange dauern kann, während die Zeit den Angreifern zugute kommt.

Wer kann angegriffen werden?

Alle Unternehmen und Organisationen, die eine Anwendung verwenden, die durch die Integration der Log4j-Bibliothek erstellt wurde. Die Liste ist lang. „Noch besorgniserregender wird es, wenn die Software-Redakteure feststellen, dass die eine oder andere Lösung durch Log4shell angreifbar gemacht wurde und Updates vorschlagen“, erklärt Félix Aimé. Durch den Rebound-Effekt könnten noch mehr Unternehmen und Organisationen exponiert sein.

Wurde der Fehler schon ausgenutzt?

Ja, aber vorerst für relativ geringfügige Vergehen, wie die Installation von „Krypto-Minern“ (Software, die es Ihnen ermöglicht, die Leistung einer Maschine zum Mining von Kryptowährungen zu nutzen). Auf allen Ebenen, von staatlichen Stellen bis hin zu Unternehmen, werden Analysen durchgeführt, die mehrere Tage, wenn nicht sogar Wochen dauern werden, um Schäden und potenzielle Risiken zu bewerten.

Auf Angreiferseite werden seit vergangenem Freitag vorerst „massive Scans über das Internet“ beobachtet. Mit anderen Worten, wahllos gestartete Angriffe auf der Suche nach verwundbaren Servern, die bisher nicht viel Ernsthaftes hervorgebracht haben. In den kommenden Wochen könnten mehrere Angriffe erfolgen, warnen Cybersicherheitsexperten.

Was können Unternehmen tun?

Der erste Ratschlag, der für alle Unternehmen unabhängig von ihrer Größe gilt, ist die Anwendung der von Anssi empfohlenen Bypass-Methoden.

Dann ist es für diejenigen, die es können, notwendig, so schnell wie möglich eine Bestandsaufnahme durchzuführen.

„Mein erster Rat an Unternehmen ist zumindest, zu sehen, welche Anwendungen mit Log4j im Internet exponiert sind und diese zu patchen“, erklärt Felix Aimé. Denn wenn der Server dem Internet ausgesetzt ist, können Angreifer dort eindringen, um in Ihr System einzudringen. Zweitens müssen Sie die nicht dem Internet ausgesetzten Geschäftsanwendungen aktualisieren, die ebenfalls log4j verwenden.“