„Die größte Computer-Sicherheitslücke der letzten Jahre“ wurde von chinesischen Programmierern entdeckt!

(Observer Network News) Laut einem Bericht von Associated Press vom 11. Dezember hat Chinas Alibaba Cloud-Sicherheitsteam eine Schwachstelle in Log4Shell in der Open-Source-Protokollkomponente Log4j unter der Webserver-Software Apache entdeckt. Das Vorhandensein dieser Sicherheitslücke ermöglicht es Netzwerkangreifern, ohne Passwort auf den Netzwerkserver zuzugreifen.

Cyber-Sicherheitsexperten gehen davon aus, dass diese Sicherheitslücke potenziell sehr schädlich ist und möglicherweise sogar die „größte Sicherheitslücke in der Computergeschichte“ darstellt. Betroffen sein können Cloud-Dienste wie Apple, Samsung und Steam. Die Apache Software Foundation hat diese Sicherheitslücke mit dem höchsten Schweregrad eingestuft.

Die letzte Warnung des Alibaba Cloud-Teams vom 10. Dezember

Der Vorfall begann am 24. des letzten Monats. Ein Mitglied des Alibaba Cloud-Teams in China hat diese Sicherheitslücke gegenüber Apache offengelegt. Anschließend übernahmen die offiziellen Computer-Notfallteams Österreichs und Neuseelands die Führung, um vor dieser Schwachstelle zu warnen.

Neuseeland gibt an, dass die Schwachstelle „aktiv ausgenutzt“ wird und ein Proof-of-Concept-Code veröffentlicht wurde.

Die diesmal aufgedeckte Schwachstelle besteht in Log4j des Java-Protokollierungsframeworks, das in verschiedenen Anwendungen und Netzwerkdiensten weit verbreitet ist. Es handelt sich um ein programminternes Aufzeichnungstool, das den Prozess der Ausführungsaktivitäten speichert, um die Überprüfung zu erleichtern, wenn Probleme auftreten. Fast jedes Netzwerksicherheitssystem verwendet eine Art Protokollierungsframework für die Aufzeichnung, was Log4j ebenfalls großen Einfluss verleiht.

Joe Sullivan, Chief Security Officer beim Cybersicherheitsmanagementunternehmen Cloudflare, sagte, die Schwachstelle ermögliche es böswilligen Angreifern, „aus der Ferne Code auszuführen“, um Zugriff auf andere Systeme zu erhalten, was angesichts der weit verbreiteten Verwendung der Log4j-Software möglich sei. Es handele sich um die „größte Lücke“. miteinander ausgehen.

Am 10. dieses Monats wurde die Alarmierung weiter ausgeweitet. Am selben Tag veröffentlichte Microsofts Spiel „Minecraft“ eine Ankündigung, in der es hieß, die Java-Version des Spiels sei anfällig für Angriffe, und empfahl den Benutzern, sofortige Maßnahmen zur Behebung von Sicherheitsproblemen zu ergreifen. Spieler können Programme auf den Computern anderer Spieler ausführen, indem sie Nachrichten in die Chatbox des Spiels einfügen.

Am selben Tag sagte Sullivan, das Unternehmen habe „in den letzten 6 bis 10 Stunden“ einen Anstieg böswilliger Benutzer beobachtet, die die Sicherheitslücke nutzten.

Forscher der Datensicherheitsplattform LunaSec fanden Hinweise darauf, dass die Cloud-Dienste von Steam und Apple betroffen waren, während Palo Alto Network in einem Blogbeitrag feststellte, dass auch Twitter und Amazon betroffen waren.

Experten haben eindringlich vor dem potenziellen Schaden dieser Sicherheitslücke gewarnt.

Adam Meyers, Senior Vice President des Cybersicherheitsunternehmens Crowdstrike, sagte, dass Hacker am Morgen des 10. US-amerikanischen Mals die Schwachstelle „vollständig zu einer Waffe gemacht“ und Tools zur Ausnutzung der Schwachstelle entwickelt und diese extern verbreitet hätten. Er beschrieb, dass „das Internet derzeit in Flammen steht“ und Kriminelle und Hacker sich bemühen, diese Schwachstelle auszunutzen, während Netzwerksicherheitspersonal großer Institutionen gegen die Zeit antritt, um sie zu beheben.

Amit Yoran, CEO von Tenable, einem anderen Cybersicherheitsunternehmen, bezeichnete Log4Shell als „die größte und kritischste einzelne Sicherheitslücke im letzten Jahrzehnt“ und möglicherweise sogar als „die größte Sicherheitslücke in der modernen Computergeschichte“.

Die Associated Press kommentierte, dass diese Schwachstelle möglicherweise die schwerwiegendste Computerschwachstelle sei, die in den letzten Jahren entdeckt wurde. Log4j ist „allgegenwärtig“ in Cloud-Servern und Unternehmenssoftware, die in Industrie und Regierung eingesetzt werden. Sofern sie nicht behoben wird, können Kriminelle, Spione und sogar unerfahrene Programmierer diese Schwachstelle leicht ausnutzen, um in interne Netzwerke einzudringen und Informationen zu stehlen, Malware einzuschleusen und kritische Informationen zu löschen.

Die Apache Software Foundation hat den Schweregrad dieser Sicherheitslücke als den höchsten von 10 eingestuft.

Ausländische Social-Media-Nutzer erklärten die Bedeutung von Log4j in Form von Emoticons

Derzeit haben große Unternehmen damit begonnen, diese Schwachstelle zu beheben. Laut McAfee, dem weltweit größten Netzwerksicherheitsunternehmen, besteht die wichtigste und umfassendste Abhilfemaßnahme darin, log4j auf die stabile Version 2.15.0 zu aktualisieren.

McAfee plant in Zukunft auch, zusätzliche Dienste wie (DNS) zu nutzen, um Änderungen an dieser Schwachstelle zu testen. Wir können dieses Dokument basierend auf den Ergebnissen entsprechend aktualisieren. Unterdessen hat McAfee Enterprise eine Netzwerksignatur, KB95088, für Kunden veröffentlicht, die NSP (Network Security Platform) nutzen, die Versuche von Angreifern erkennt, die Schwachstelle auszunutzen.

Am 10. Dezember veröffentlichte das Alibaba Cloud-Sicherheitsteam eine Ankündigung, dass festgestellt wurde, dass die Version Apache Log4j 2.15.0-rc1 eine Schwachstellenumgehung aufweist. Bitte aktualisieren Sie rechtzeitig auf die offizielle Version von Apache Log4j 2.15.0.