ID-INFO-Blog
Ist Ihr IBM i anfällig für Log4j Cyberangriffe?
Machen wir der Spannung gleich ein Ende: Die Antwort lautet JA.
Log4Shell, eine Internet-Sicherheitslücke, die Millionen von Computern betrifft, beinhaltet eine obskure, aber fast allgegenwärtige Softwarekomponente namens Log4j.
Log4Shell stellt die schwerwiegendste Sicherheitslücke dar
Die Software wird verwendet, um alle Arten von Aktivitäten aufzuzeichnen, die in einer Vielzahl von Computersystemen, einschließlich desIBM i, unter der Haube stattfinden.
Jen Easterly, Direktorin der U.S. Cybersecurity & Infrastructure Security Agency, bezeichnete Log4Shell als schwerste Gefährdung die sie in ihrer Karriere gesehen hat, ebenso wie einer unserer besten Kollegen zum Thema Sicherheit, Bruce F. Bading. Es gab bereits Hunderttausende, vielleicht Millionen, von Versuche, die Schwachstelle auszunutzen.
Was macht Log4j?
Log4j zeichnet Ereignisse – Fehler und routinemäßige Systemoperationen – auf und übermittelt diagnostische Meldungen darüber an Systemadministratoren und Benutzer. Es ist ein Open-Source-Software bereitgestellt von Apache Software Foundation.
Wie funktioniert Log4Shell?
Log4Shell funktioniert, indem sie eine Funktion von Log4j missbraucht, die es Benutzern ermöglicht, einen benutzerdefinierten Code zur Formatierung einer Protokollnachricht anzugeben. Diese Funktion ermöglicht es Log4j beispielsweise, nicht nur den Benutzernamen zu protokollieren, der mit jedem Verbindungsversuch zum Server verbunden ist, sondern auch den echten Namen der Person, wenn ein separater Server ein Verzeichnis enthält, das die Benutzernamen und die echten Namen miteinander verbindet. Dazu muss der Log4j-Server mit dem Server, der die echten Namen hat, kommunizieren.
Log4j öffnet die Tür für „Hacker“ und Sicherheitslücken
Leider kann diese Art von Code für mehr als nur die Formatierung von Zeitungsmeldungen verwendet werden. Anfällige Versionen von Log4j ermöglichen es Servern von Drittanbietern, Softwarecode zu übermitteln, der alle möglichen Aktionen auf dem Zielcomputer ausführen kann. Dies öffnet schädlichen Aktivitäten wie dem Diebstahl sensibler Informationen, der vollständigen Übernahme des Zielsystems und der Übertragung bösartiger Inhalte an andere Nutzer, die mit dem betroffenen Server kommunizieren, Tür und Tor.
Log4Shell ist einfach zu betreiben
Es ist relativ einfach, Log4Shell zu betreiben. Ich konnte das Problem in meiner Kopie von Ghidra, ein Reverse-Engineering-Framework für Sicherheitsforscher, in nur wenigen Minuten. Es gibt eine sehr niedrige Messlatte für die Verwendung dieses Exploits, was bedeutet, dass eine größere Anzahl von Personen mit bösartigen Absichten ihn verwenden kann.
Log4j ist überall – einschließlich IBM i
Eine der größten Sorgen in Bezug auf Log4Shell ist die Stellung von Log4j im Software-Ökosystem. Die Protokollierung ist eine grundlegende Funktion der meisten Software, wodurch sie Weit verbreitetes Log4j. Es wird in IBM WebSphere (WAS), IBM i Navigator, Apache HTTP, IBM i HA-Software, Cloud-Diensten wie Apple iCloud und Amazon Web Services sowie einer breiten Palette von Programmen von Softwareentwicklungswerkzeuge an Sicherheitswerkzeuge der Lieferkette und jede Version von IBM i Client Solutions, die älter als 1.8.8.7 ist.
Das bedeutet, dass Hacker aus einer breiten Palette von Zielen wählen können: IBM i-Benutzer, Dienstleister, Entwickler von Quellcode und sogar Sicherheitsforscher. Während also große Unternehmen wie IBM und Amazon ihre Webdienste schnell korrigieren können, um zu verhindern, dass Hacker sie ausnutzen, brauchen viele andere Organisationen länger, um ihre Systeme zu korrigieren, und einige wissen vielleicht nicht einmal, dass sie eine Korrektur benötigen.
Schäden, die verursacht werden können
Hacker durchsuchen das Internet nach verwundbaren Servern und richten Rechner ein, die bösartige Payloads bereitstellen können. Um einen Angriff durchzuführen, fragen sie Dienste (z. B. Webserver) ab und versuchen, eine Protokollmeldung (z. B. einen 404-Fehler) auszulösen. Die Anfrage enthält bösartig konstruierten Text, den Log4j als Anweisungen behandelt.
Diese Anweisungen können einen Reverse Shell, die es dem angreifenden Server ermöglicht, den Zielserver fernzusteuern, oder sie können den Zielserver in eine Botnet. Botnets nutzen mehrere gehackte Computer, um im Namen der Hacker koordinierte Aktionen durchzuführen.
Hacker missbrauchen die Log4Shell bereits… und auf neue Art und Weise. Aua!
Eine große Anzahl von Piraten versuchen bereits, die Log4Shell zu missbrauchen. Diese reichen von Ransomware-Banden an Hackergruppen, die versuchen, Bitcoin zu schürfen und Hacker, die mit der China und Nordkorea versuchen, an sensible Informationen ihrer geopolitischen Rivalen zu gelangen. Das belgische Verteidigungsministerium berichtete, dass seine Computer mithilfe von Log4Shell angegriffen.
Obwohl die Schwachstelle erstmals am 9. Dezember 2021 allgemeine Aufmerksamkeit erlangte, identifizieren die Menschen weiterhin neue Wege , um über diesen Mechanismus Schaden anzurichten.
Wie kann man die Log4j-Blutung stoppen?
Es ist schwer zu erkennen, ob Log4j in einem bestimmten Softwaresystem verwendet wird, da es häufig in andere Software integriert. Dies zwingt Systemadministratoren dazu, ihre Software zu inventarisieren, um ihr Vorhandensein zu identifizieren. Wenn manche Menschen nicht einmal wissen, dass sie ein Problem haben, ist es umso schwieriger, die Anfälligkeit auszumerzen, und Sie können sich nicht gegen etwas wehren, was Sie nicht wissen.
Eine weitere Folge der verschiedenen Verwendungsmöglichkeiten von Log4j ist, dass es keine einheitliche Lösung zur Behebung des Problems gibt. Je nachdem, wie Log4j in ein bestimmtes System integriert wurde, erfordert die Korrektur unterschiedliche Herangehensweisen. Dies könnte eine allgemeine Systemaktualisierung erfordern, wie sie bei einige Cisco-Router, oder ein Update auf eine neue Softwareversion oder die manuelle Entfernung des anfälligen Codes für diejenigen, die die Software nicht aktualisieren können.
Log4Shell ist Teil der Softwarelieferkette. Wie die physischen Gegenstände, die Menschen kaufen, reist Software durch verschiedene Organisationen und Softwarepakete, bevor sie in einem Endprodukt landet. Wenn etwas schiefgeht, wird, anstatt durch einen Mahnprozess zu gehen, die Software in der Regel „ gepatcht „, d. h. an Ort und Stelle korrigiert.
Log4Shell-Patches können sich verzögern
Da Log4j jedoch auf unterschiedliche Weise in Softwareprodukten vorhanden ist, erfordert die Verbreitung eines Patches die Koordination von Log4j-Entwicklern, Softwareentwicklern, die Log4j verwenden, Softwarehändlern, Systembetreibern und Benutzern. Normalerweise führt dies zu einer Verzögerung zwischen der Verfügbarkeit des Patches im Log4j-Code und der Tatsache, dass die Computer der Benutzer die Sicherheitslücke schließen.
Einige Schätzungen der Software-Reparaturzeit variieren in der Regel von einigen Wochen bis zu mehreren Monaten. Wenn jedoch vergangenes Verhalten auf zukünftige Leistungen schließen lässt, ist es wahrscheinlich, dass die Sicherheitslücke Log4j in den kommenden Jahren entstehen wird.
Als Nutzer fragen Sie sich wahrscheinlich, was Sie gegen all das tun können. Leider ist es schwierig, herauszufinden, ob ein von Ihnen verwendetes Softwareprodukt Log4j enthält und ob es verwundbare Versionen der Software verwendet.
Was Sie JETZT tun können, um sich vor den Schwachstellen in Log4Shell zu schützen
Sie können jedoch helfen, indem Sie den allgemeinen Refrain von IT-Sicherheitsexperten beachten:
- Stellen Sie sicher, dass Ihre gesamte Software auf dem neuesten Stand ist.
- Wenden Sie sich an Ihre Drittanbieter, um Aktualisierungen zu erhalten.
- Entfernen oder deaktivieren Sie alle anfälligen Versionen so schnell wie möglich.
Dies ist besonders wichtig, wenn Sie eine Earlier- oder End-of-Support (EOS)-Version von IBM i verwenden (älter als V7.3 oder V7.4).
Scans jedes IBM i-Systems, einschließlich älterer Betriebssysteme, die nicht mehr unterstützt werden, finden Dutzende anfällige log4j-Dateien im IFS. Kein System ist sicher und je älter es ist, desto anfälliger ist es.
Obwohl sich die ersten Angriffe auf die anfälligen Versionen von log4j auf entfernte LDAP-Server konzentrierten, verlagerte sich die Aufmerksamkeit Mitte Dezember auf Java Virtual Machine (JVM) Remote Method Invocation (RMI).
Das bedeutet, dass jeder Server, einschließlich IBM i, auf dem JVM RMI läuft, für einen katastrophalen Angriff anfällig ist.
Dieses Schema zeigt den Ablauf des Angriffs.
Jede Version von log4j, die älter als 2.17.1 ist, ist anfällig.
The Center of Internet Security verfügt über die aktuellsten verfügbaren Informationen. Der beste Rat, den wir Ihnen geben können, ist, darauf zu achten, woher Sie Ihre Informationen bekommen, denn das kann Sie anfällig für Angriffe machen.
Das Beste, was Sie tun können, ist, jetzt zu scannen, bevor es zu spät ist.
Log4j Zero-Day Vulnerability Response (cisecurity.org) – Originalartikel von Bob Losey: https: //cutt.ly/DPAcTSM
Haben Sie Fragen oder Pläne bezüglich der log4j-Verletzlichkeit? Unsere Teams stehen Ihnen zur Verfügung. Kontaktieren Sie uns unter 01 88 32 12 34 oder über das Kontaktformular.