Log4Shell: ESET blockiert Hunderttausende Angriffsversuche

Nächste PM
James Shepperd

ESET hat in den letzten Tagen weltweit Hunderttausende von Angriffsversuchen erkannt, die auf die kritische Log4Shell-Sicherheitslücke zurückführen sind. Die meisten Angriffsversuche finden in den USA, Großbritannien, der Türkei, Deutschland und den Niederlanden statt, insgesamt stehen aber fast 180 Länder unter Beschuss. Dies zeigt die globale Verbreitung der Log4j-Softwarebibliothek in Systemen auf der ganzen Welt.

 

 

 

Abbildung 1. Länder mit den meisten Exploit-Versuchen auf Basis der Sicherheitslücke Log4Shell

 

Seit die ESET Ingenieure am 11. Dezember die Erkennung von Exploits der Log4Shell-Sicherheitslücke zu unseren Lösungen hinzugefügt haben, zeichnet ESET die oben genannten Angriffsversuche auf. In der Slowakischen Republik, einem Land mit fünf Millionen Einwohnern und Sitz des ESET-Hauptsitzes, gab es Tausende von Angriffsversuchen. Die zeigt, dass alle Länder, unabhängig von ihrer Größe, von den Folgen der Schwachstelle betroffen und den Angriffen von Cyberkriminellen haben auf Server, Dienste und Geräte ausgesetzt sind, solange die Lücke nicht geschlossen wurde.

Log4Shell Attack Attempts

Log4Shell Attack Attempts

Abbildung 2. Die ESET-Telemetriedaten zeigen die globalen Angriffsversuche relativ zur Gesamtmenge der Erkennungen pro Tag. 

Warum sind die Angriffsversuche so breit gestreut?

Die Softwarebibliothek Log4j wird typischerweise für die Erstellung von Protokollen verwendet, die Aktivitäten auf einem Gerät aufzeichnen – in diesem Fall insbesondere zur Aufzeichnung von Fehlern und zur nachträglichen Untersuchung von Sicherheitsvorfällen. Dadurch ist die Schwachstelle extrem weit verbreitet.

Die Schwachstelle ermöglicht es Angreifern, beliebigen Code aus der Ferne auf einem Gerät auszuführen und letztendlich die volle Kontrolle darüber zu erlangen. Wenn Angreifer auf diese Weise einen Server kompromittieren, können sie von dort aus tiefer in die internen Netzwerke einer Organisation vordringen und andere Systeme und Geräte infiltrieren, die möglicherweise nicht einmal mit dem Internet verbunden sind. In Verbindung mit der hohen Verbreitung von Log4j wird diese Lücke als kritische Schwachstelle der höchsten Stufe der CVSS-Skala (10 von 10 Punkten) eingestuft. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) betrachtet die Lücke als extrem kritisch und hat eine Sicherheitswarnung der Stufe Rot herausgegeben. Gelingt es betroffenen Unternehmen der IT-Branche nicht schnell auf die Lücke zu reagieren, so kann es bei einer beträchtlichen Zahl von Organisationen und bei Personen, die ihre eigenen Server verwalten oder verschiedene Online-Dienste nutzen, noch zu Problemen führen.

„Log4j ist eine Open-Source-Bibliothek, die Teil vieler Online-Lösungen und der Dienste weltbekannter Technologieunternehmen ist. Zum Teil ist sie, als Teil eines größeren Pakets, auf einem Server oder einem Unternehmenssystem vorhanden, ohne dass IT-Administratoren dies wissen. Wenn Angreifer die volle Kontrolle über ein anfälliges Gerät erlangen, können sie Cyberspionage betreiben, sensible Daten stehlen, Ransomware installieren oder die IT-Systeme eines Unternehmens auf andere Weise sabotieren“, erklärt Ondrej Kubovič, ESET Security Awareness Specialist.

Abbildung 3. ESET-Telemetriedaten zeigen den Anstieg der blockierten Log4Shell-Exploit-Versuche.

 

Empfehlungen

ESET empfiehlt die folgenden Schritte:

  • Überprüfen Sie, wo Ihre Organisation die Open-Source-Bibliothek Log4j verwendet und welche Version. Die anfälligen Versionen sind die von 2.0-beta9 bis 2.14.1. Version 2.15 ist auch teilweise angreifbar.
  • Aktualisieren Sie Ihre Log4j-Bibliothek auf Version 2.16 und verfolgen Sie alle zukünftigen Updates.
  • Da Log4Shell eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung ist und Exploits leicht verfügbar sind, muss sichergestellt werden, dass die Sicherheitsanfälligkeit nicht von Angreifern ausgenutzt wurde.
  • Verwenden Sie Sicherheitssoftware, die die Ausnutzung von Schwachstellen erkennen und blockieren kann. Zu den Erkennungen von ESET gehören:
  • Java/Exploit.CVE-2021-44228
  • Java/Exploit.Agent
  • Java/Exploit.Agent.SBL
  • Blockieren Sie verdächtige IP-Adressen mit einer Firewall.

Mehr zum Thema Log4Shell und Tipps zur Schadensbegrenzung finden Sie in unserem Sicherheitsblog WeLiveSecurity. Eine Einordnung unseres Sicherheitsexperten Tommi Uhlemann finden in diesem Video.

Informationen zu unseren Produkten finden Sie hier und hier.