AWS-Hotpatches für Log4Shell öffnen gefährliche Angriffspforten

21. April 2022 um 11:39
  • security
  • aws
  • lücke
  • java
image
Foto: Markus Spiske / Unsplash

Der Hyperscaler hat mit raschen Patches für die gefährliche Lücke vom letzten Dezember selbst Schwachstellen erzeugt. Ein Update steht aber bereits zur Verfügung.

Die Log4Shell-Lücke, die im letzten Dezember entdeckt wurde, dürfte AWS-Kunden erneut beschäftigen. Der Cloud-Primus hatte zwar früh Hotpatches für die brandgefährliche Schwachstelle veröffentlicht, gerade diese stellen sich nun aber als neuerliche Gefahr heraus. Security-Forscher der Unit 42 von Palo Alto Networks berichten, dass die Patches gravierende Sicherheitslücken bergen: CVE-2021-3100, CVE-2021-3101, CVE-2022-0070, CVE-2022-0071. Diese haben den Gefährlichkeits-Score 8,8 von 10 erhalten.
Laut Unit 42 könnten Angreifer dank der Patches ihre Rechte ausweiten. Der Update-Dienst von AWS sucht offenbar nach Binärdateien mit der Bezeichnung "java", um deren Version zu ermitteln. Die Datei wird dann ein zweites Mal aufgerufen, um den Hotpatch im laufenden Betrieb einzuspielen und das Java Naming and Directory Interface (JNDI) zu deaktivieren, das für die Log4Shell-Lücke massgeblich ist.
Laut den Security-Forschern werden Java dabei erweiterte Rechte eingeräumt. Wenn nun Angreifer selbst eine Anwendung mit dem Namen "java" im System unterbringen, können sie so ihre Rechte ausweiten. Die Forscher von Unit 42 haben ein Video veröffentlicht, das einen möglichen Angriff zeigt, in dem sie die Schwachstelle ausnutzen, um aus einem Cluster oder einer Virtuellen Maschine (VM) auszubrechen und Code auf dem Host auszuführen.
AWS hat den Fehler bereits behoben und stellt Updates zur Verfügung. "Wir empfehlen Kunden, die Java-Anwendungen in Containern ausführen und entweder den Hotpatch oder Hotdog verwenden, sofort auf die neuesten Versionen der Software zu aktualisieren", heisst es dazu in einem Sicherheitsbulletin des Hyperscalers. Den Bericht von Unit 42 findet man auf deren Website.

Loading

Mehr erfahren

Mehr zum Thema

image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024
image

Maschinenbauer Schlatter ist nach Cyberangriff wieder im Normalbetrieb

Zehn Tage nach der Attacke laufen alle Systeme wieder. Das Unternehmen bestätigt erneut, dass es sich um einen Ransomware-Angriff handelte.

publiziert am 20.8.2024
image

Iraner wollten US-Wahlkampf mithilfe von ChatGPT beeinflussen

OpenAI hat ChatGPT-Accounts von iranischen Nutzern identifiziert und gesperrt. Diese hatten Inhalte erstellt, um Wählerinnen und Wähler in den USA mit Fake News zu beeinflussen.

publiziert am 19.8.2024