Loch in Log4j war noch nicht komplett gestopft

15. Dezember 2021 um 12:49
  • security
  • lücke
image

Ein weiterer Patch soll das Problem ganz ausgeräumt haben. Derweil verwenden nun auch Ransomware-Gruppen die Lücke.

Die Version 2.15 von Log4j, welche die Apache-Foundation am letzten Freitag veröffentlicht hatte, um die Security-Schwachstelle Log4Shell (CVE-2021-44228) zu beheben, war offenbar noch nicht komplett sicher. Deshalb hat die Foundation nun eine weitere Version veröffentlicht, 2.16, welche das Problem ganz beheben soll. In 2.16 ist die problematische JNDI-Schnittstelle (Java Naming and Directory Interface) ganz deaktiviert.
In 2.15 war dies noch nicht komplett der Fall. In dieser Version war erst die Lookup-Funktion von JNDI deaktiviert worden. Dies hat die Hauptursache für das Security-Problem behoben und dürfte die meisten Anwender schützen. Allerdings haben Security-Forscher herausgefunden, dass Angreifer auch die Version 2.15 hätten knacken können, wenn die Anwender spezielle Nicht-Standard-Konfigurationen gewählt hätten.
Dieses Log4Shell-"Restproblem" hat eine eigene CVE-Nummer erhalten (CVE-2021-45046)

Ransomwarebanden beginnen Log4Shell auszunützen

Laut einer Vielzahl von Security-Forschern ist die Zahl der Scans, mit denen Hacker nach über das Internet erreichbaren, verwundbaren Systeme suchen, in den Tagen seit die Log4j-Schwachstelle bekannt wurde, rasant gestiegen. Auch die Zahl der konkreten Angriffsversuche hat stark zugenommen. Gemäss Zahlen von Check Point sind in Europa bereits knapp 50% (Schweiz 40%) aller Unternehmensnetzwerke angegriffen worden. Dabei würden die Angreifer bereits über 60 Varianten des ursprünglichen Exploits verwenden, so der Anbieter von Security-Software.
Laut verschiedenen Berichten, die 'ZDnet' zusammengetragen hat, versucht ‒ wie zu erwarten war ‒ mittlerweile auch eine Reihe von Ransomware-Gruppierungen Log4Shell ausnützen, um in Unternehmensnetzwerke einzudringen. Laut Bitdefender beispielsweise wird die relative neue und relativ simpel gestrickte Ransomware "Khonsari" nun so verbreitet.
Offenbar gibt es aber auch technisch raffiniertere, teilweise staatlich unterstütze Ransomware-Gruppen, die auf den Log4Shell-Zug aufgesprungen sind. Microsoft sagt, dass nun die bei gezielt vorangehenden Ransomware-Banden beliebte Hintertür "Cobaltstrike" auch via Log4Shell installiert wird. Gemäss Sekoia versucht wahrscheinlich auch die Lockbit-Bande Log4Shell auszunützen, und Crowdstrike sagt, dass man die im Iran stationierte Gruppierung Nemesis Kitten bei entsprechenden Aktivitäten beobachtet habe.

Loading

Mehr zum Thema

imageAbo

Neue Ransomware-Bande behauptet Angriff auf Plattform von Syngenta

Die Gruppe Shadowbyt3$ ist erst seit Februar aktiv, will aber neben dem Agrarkonzern weitere prominente Opfer wie Nintendo erfolgreich attackiert haben.

publiziert am 16.6.2026
imageAbo

Walliser BVZ richtet Security Operations Center ein

Das Security Operations Center für den Verkehrs- und Tourismusdienstleister mit der Matterhorn Gotthard Bahn baut Anomal auf.

publiziert am 16.6.2026
imageAbo

Bund soll KI-Einsatz bei Polizei prüfen

Der Ständerat hat ein Postulat zum Einsatz von Künstlicher Intelligenz bei Polizei, innerer Sicherheit und Strafverfolgung angenommen.

publiziert am 16.6.2026
image

Bundesrat will Lösegeldzahlung durch Ruag aufarbeiten

Politiker sind empört, dass der Rüstungskonzern Lösegeld an die Ransomware-Gruppe Akira bezahlt hat. Ihre Fragen beantwortete die Regierung alle gleich.

publiziert am 16.6.2026