Log4shell-Exploits werden jetzt hauptsächlich für DDoS-Botnets und Kryptominer verwendet

/in ,

Die Log4Shell-Schwachstellen in der weit verbreiteten Log4j-Software werden auch heute noch von Angreifern ausgenutzt, um verschiedene Malware-Payloads einzusetzen, einschließlich der Aufnahme von Geräten für DDoS-Botnets und zum Einschleusen von Kryptominern.

Einem Bericht von Barracuda zufolge waren die letzten Monate durch Schwankungen und Spitzen bei den Angriffen auf Log4Shell gekennzeichnet, aber das Volumen der Ausnutzungsversuche ist relativ konstant geblieben.

Nach der Analyse dieser Angriffe stellte Barracuda fest, dass die meisten Angriffsversuche von IP-Adressen in den USA (80%) ausgingen, gefolgt von Japan, Mitteleuropa und Russland.

Im Dezember 2021 fanden Forscher heraus, dass Log4j Version 2.14.1 und alle vorherigen Versionen anfällig für CVE-2021-44228, genannt „Log4Shell“, eine kritische Zero-Day-Schwachstelle zur Remotecodeausführung sind.

Apache, der Entwickler von Log4j, versuchte das Problem mit der Veröffentlichung von Version 2.15.0 zu beheben. Die Entdeckung weiterer Schwachstellen und Sicherheitslücken verlängerte jedoch den Patching-Wettlauf bis zum Ende des Jahres, als mit Version 2.17.1 endlich alle Probleme behoben wurden.

Laut Barracuda laufen jedoch auf vielen Systemen weiterhin ältere Versionen des beliebten Logging-Frameworks und sind somit anfällig für Angriffe.

Barracuda-Forscher haben verschiedene Payloads entdeckt, die auf anfällige Jog4j-Implementierungen abzielen, aber die Derivate des Mirai-Botnetzes scheinen im Moment den Löwenanteil zu übernehmen.

Die Mirai-Malware zielt auf öffentlich zugängliche Netzwerkkameras, Router und andere Geräte ab und bindet sie in ein Botnet aus ferngesteuerten Bots ein. Der Bedrohungsakteur kann dieses Botnet dann so steuern, dass es DDoS-Angriffe gegen ein bestimmtes Ziel durchführt, dessen Ressourcen erschöpft und dessen Online-Service unterbricht.

Wie der Barracuda-Bericht erklärt, wird Mirai in verschiedenen Formen und von verschiedenen Quellen aus verbreitet, was darauf hindeutet, dass die Betreiber versuchen, ein großes Botnetz aufzubauen, das in Zukunft Opfer aller Größenordnungen angreift.

Die Bedrohungsakteure, die hinter diesen Operationen stehen, vermieten entweder ihre Botnet-Firepower an andere oder starten selbst DDoS-Angriffe, um Unternehmen zu erpressen.

Andere Payloads, die bei den jüngsten Log4j-Angriffen abgeworfen wurden, sind:

  • BillGates-Malware (DDoS)
  • Muhstik (DDoS)
  • Kinsing (Kryptominer)
  • XMRig (Kryptominer)

Die Analysten von Barracuda sagen, dass sie keine Ransomware-Banden gesehen haben, die öffentlich zugängliche VMWare-Installationen ausnutzen, und glauben, dass diese eher als Insider-Bedrohung für bereits kompromittierte Netzwerke eingesetzt werden.

Die Conti Ransomware nutzte beispielsweise Log4j-Exploits, um sich seitlich auf VMware vCenter-Installationen auszubreiten.
Eine permanente Bedrohung

Der einfachste Weg, sich gegen diese Art von Angriffen zu schützen, besteht darin, Log4j auf die Version 2.17.1 oder höher zu aktualisieren und generell alle Ihre Webanwendungen auf dem neuesten Stand zu halten.

Da die meisten Geräte, auf die Mirai abzielt, es nicht erlauben, einzelne Pakete zu aktualisieren, müssen Sie nach aktualisierter Firmware suchen, die Log4j-Korrekturen enthält, und diese anwenden, falls verfügbar.

Während Barracuda berichtet, dass die Zahl der Log4Shell-Angriffe konstant bleibt, hat Sophos kürzlich einen Rückgang festgestellt. Alle Analysten sind sich jedoch einig, dass die Bedrohung weiterhin besteht.

Selbst wenn das Interesse der Mehrheit der Bedrohungsakteure nachlässt, werden einige weiterhin anfällige Log4j-Implementierungen ins Visier nehmen, da ihre Zahl nach wie vor beachtlich ist.

Wertvolle Organisationen, die für Ransomware-Angriffe lukrativ waren, haben die Sicherheitsupdates eingespielt, aber für Kryptomining und DDoS-Angriffe sind vernachlässigte Systeme, auf denen ältere Versionen laufen, hervorragende Ziele.

Mozilla Firefox 97.0.2 behebt zwei aktiv ausgenutzte Zero-Day-Fehler

/in ,

Mozilla hat Firefox 97.0.2, Firefox ESR 91.6.1, Firefox für Android 97.3.0 und Focus 97.3.0 veröffentlicht, um zwei kritische Zero-Day-Schwachstellen zu beheben, die aktiv in Angriffen ausgenutzt werden.

Bei beiden Zero-Day-Schwachstellen handelt es sich um „Use-after-free“-Fehler, bei denen ein Programm versucht, Speicher zu verwenden, der zuvor freigegeben wurde. Wenn Bedrohungsakteure diese Art von Fehler ausnutzen, kann dies zum Absturz des Programms führen und gleichzeitig die Ausführung von Befehlen auf dem Gerät ohne Erlaubnis ermöglichen.

Diese Fehler sind kritisch, da sie es einem Angreifer ermöglichen können, fast jeden Befehl auszuführen, einschließlich des Herunterladens von Malware, um weiteren Zugriff auf das Gerät zu erhalten.

Die von Mozilla behobenen Zero-Day-Schwachstellen sind:

CVE-2022-26485: Use-after-free in der XSLT-Parameterverarbeitung – Das Entfernen eines XSLT-Parameters während der Verarbeitung hätte zu einem ausnutzbaren Use-after-free führen können. Uns liegen Berichte über Angriffe in freier Wildbahn vor, die diesen Fehler ausnutzen.
CVE-2022-26486: Use-after-free in WebGPU IPC Framework – Eine unerwartete Meldung im WebGPU IPC Framework könnte zu einem Use-after-free und einem ausnutzbaren Sandbox-Escape führen. Wir haben Berichte über Angriffe in freier Wildbahn, die diesen Fehler ausnutzen.

Wie Mozillas Sicherheitshinweis erklärt, sind den Firefox-Entwicklern „Berichte über Angriffe in freier Wildbahn“ bekannt, die diese Schwachstellen aktiv ausnutzen.

Mozilla hat zwar nicht mitgeteilt, wie Angreifer diese Zero-Day-Schwachstellen in Angriffen nutzen, aber wahrscheinlich wurden Firefox-Nutzer auf böswillig gestaltete Webseiten umgeleitet.

Die Schwachstellen wurden von dem chinesischen Cybersicherheitsunternehmen Qihoo 360 ATA entdeckt und an Mozilla weitergegeben.

Da es sich bei diesen Fehlern um kritische Schwachstellen handelt, die bereits aktiv ausgenutzt werden, wird allen Firefox-Nutzern dringend empfohlen, ihren Browser sofort zu aktualisieren.

Sie können die neueste Version von Mozilla Firefox für Windows, macOS und Linux auch über die folgenden Links herunterladen:

Download bei Mozilla: https://www.mozilla.org/de/

Benutzer können manuell nach neuen Updates suchen, indem sie das Firefox-Menü > Hilfe > Über Firefox aufrufen. Firefox sucht dann automatisch nach dem neuesten Update, installiert es und fordert Sie auf, Ihren Browser neu zu starten.