*Vorwort* Es geht in dem Video um Webanwendungen als eines der vielen Beispiele für die Log4j-Schwachstelle, von der Schwachstelle ist jedoch potentiell jede Software betroffen die Log4j nutzt.
In den Log4j Listen (siehe Links unten) von Produkten und Anbietern liest man alle großen Namen der Software Welt wie z.B. Microsoft, Dell, IBM, SAP, Teamviewer usw.
Online wie Offline, Privat wie Unternehmen und andere Institutionen sind betroffen, einfach Jeder und potentiell jedes Produkt was mit einer Software ausgestattet ist das Log4j nutzt (Untersuchungen laufen, hunderte Anbieter und Produkte von globaler Bedeutung wurden bereits gelistet):
https://www.bleepingcomputer.com/news/security/log4j-list-of-vulnerable-products-and-vendor-advisories/
https://github.com/NCSC-NL/log4shell/tree/main/software
https://www.rumble.run/blog/finding-log4j/
In diesem kurzen Video geht es um die Log4j Schwachstelle die aktuell weltweit das Internet bedroht.
In unserer Demo zeigen wir kurz wie ein Angreifer unter Ausnutzung der Log4j-Schwachstelle über normale Eingabe-Formulare auf einer Webseite eine Remote-Verbindung zum anzugreifenden System herstellt, der Angreifer kann in diesem Beispiel die Webanwendung und im Anschluss den Webserver vollständig kontrollieren.
Es reicht zur Nutzung der Schwachstelle meist ein beliebiges Eingabefeld auf einer Webseite z.B. ein Suchfeld in einem Webshop, die genutzte Technologie hinter den Suchfeldern in Webshops ist meist ElasticSearch und ElasticSearch ist verwundbar.
Bei der Log4j-Schwachstelle verblüfft die Einfachheit in der Ausnutzbarkeit.
Der Angreifer erlangt in diesem Beispiel Root Rechte, da der Webserver im Root-Kontext läuft, dadurch ist eine vollständige Übernahme des Servers möglich.
Es können beliebige Daten extrahiert werden oder weitere Hackerangriffe auf die Webanwendung oder andere Internet-Teilnehmer durchgeführt werden.
Konsultieren Sie uns gern für eine Beratung oder für die Behebung von Log4j Schwachstellen in Ihrem Unternehmen.
Wir haben erfahrene Java Programmierer und Administratoren (Linux + Windows) mit an Board die gern Ihre IT-Systeme prüfen und Quellcode von eingesetzer Software auditieren sowie IT-Systeme und Software gegen Log4j härten können.
Bei Vorfällen im Zusammenhang mit Log4j besteht möglicherweise eine Meldepflicht bei den Behörden z.B. bei der Landesdatenschutzbehörde sofern personenbezogene Daten betroffen sind.
Die Demo erfolgte auf unseren Testsystemen, es kam dabei niemand zu Schaden und es hat sich dabei niemand strafbar gemacht.