Log4j-Alarm: Open Source Log4Shell Detection Script

B2B Cyber Security ShortNews

Beitrag teilen

Arctic Wolf, ein führendes Unternehmen im Bereich Security Operations, stellt das Detection Script „Log4Shell Deep Scan“ zur Erkennung von CVE-2021-45046 und CVE-2021-44228 in JAR-Dateien sowie in WAR- und EAR-Dateien öffentlich bei Github zur Verfügung. Das Script wurde bereits bei mehr als 2.300 Arctic-Wolf-Kunden weltweit erfolgreich eingesetzt.

Das Skript, das sowohl für Windows- als auch für macOS- und Linux-Geräte zur Verfügung steht, führt einen Tiefenscan des Dateisystems von Hosts durch, um Java-Anwendungen und -Bibliotheken mit anfälligem Log4j-Code zu identifizieren. Wird betroffener Log4j-Code erkannt, markiert das Skript diesen und gibt den Speicherort innerhalb des Dateisystem aus. Unternehmen können so Anwendungen und Systeme identifizieren, die von der Log4J- Schachstelle betroffen sind.

Anzeige

Hier „Log4Shell Deep Scan“ bei Github herunterladen

Weitere Informationen finden Sie im entsprechenden readme.txt auf GitHub. Arctic Wolf lädt die Security-Community weiterhin dazu ein, „Log4Shell Deep Scan“ für ihre eigenen Anwendungsfälle weiterzuentwickeln. Dabei werden keine Informationen von Arctic Wolf gesammelt oder an Arctic Wolf gesendet.

Warum Log4Shell Deep Scan verwenden?

Die Identifizierung aller verwundbaren Instanzen von Log4j innerhalb eines Unternehmens ist aktuell eine große Herausforderung für IT- und Sicherheitsteams. Die Heraufstufung der Kritikalität der neuesten CVE-2021-45046 erfordert ein erneutes Scannen und Patchen der Systeme und Assets.

Log4Shell Deep Scan sollte als Ergänzung und nicht als Ersatz für bestehende netzwerkbasierte Lösungen zum Scannen von Schwachstellen verwendet werden. Arctic Wolf empfiehlt Unternehmen das Tool zuerst auf deren kritischsten und öffentlich zugänglichen IT-Systemen auszuführen und im Anschluss alle weiteren Systeme zu scannen – auch die Systeme, die sich hinter einem Security-Perimeter befinden.

Indem das Tool aufzeigt, welche Anwendungen betroffen sind und wo sich die einzelnen Schwachstellen befinden, können IT- und Sicherheitsteams diese Schwachstellen schnell priorisieren und gezielt beheben.

Log4j / Log4Shell-Schwachstellen werden langfristig ausgenutzt

Arctic Wolf hat eine große Anzahl von Scanning-Aktivitäten im Zusammenhang mit den Log4j/Log4Shell-Sicherheitslücken beobachtet sowie Angriffe, bei denen Bedrohungsakteure versuchen, Crypto-Miner-Malware zu verbreiten. Ransomware-Bedrohungsakteure haben zudem damit begonnen, Log4Shell aktiv als Einstiegsvektor für ihre Attacken zu nutzen.

Arctic Wolf trackt mehrere bekannte Angreifergruppen u.a. auch aus China, Iran, Nordkorea und der Türkei, die die Log4J-Schwachstelle ausnutzen. Diese und weitere Bedrohungsakteure sind schon seit vorletzter Woche aktiv, seit sie von einer Zero-Day-Schwachstelle Kenntnis erlangt haben. Sobald die öffentliche Aufmerksamkeit in den Unternehmen nachlässt, ist damit zu rechnen, dass nach der initialen Kompromittierung weitere Angriffsschritte und -aktivitäten ausgeführt werden, so dass besonders in der nächsten Zeit ständige Aufmerksamkeit und detailliertes Security-Monitoring erforderlich ist.

Was steht als nächstes für Log4Shell an?

Log4Shell hält die IT-Welt bereits seit anderthalb Wochen in Atem. Die Situation entwickelt sich ständig weiter und es ist damit zu rechnen, dass diese Schwachstelle und die damit verbundenen Auswirkungen Unternehmen noch lange beschäftigen werden. Die Security- und R&D-Teams von Arctic Wolf entwickelten daher zusätzliche Detection-Tools, die auf den neuen Methoden (z. B. TTPs) basieren, die mit hoher Wahrscheinlichkeit von den Angreifern eingesetzt werden. Dazu gehört auch, die Variationen der Log4J-Angriffsmethoden zu detektieren und erfolgreiche Ausnutzungen sofort zu erkennen, einzudämmen und auszumerzen.

Es ist anzunehmen, dass raffinierte Bedrohungsakteure die weit verbreiteten Log4J-Scanning- und Commodity-Angriffe nutzen, um mit ihren Aktivitäten „unter dem Radar zu fliegen“ um hochrangige Ziele zu kompromittieren. Weiterhin ist zu erwarten, dass in der nächsten Zeit deutlich mehr Ransomware-Fälle auftreten werden, die die erfolgreichen Log4j- Angriffe monetarisieren. Mehr Informationen zu den Auswirkungen von Log4Shell finden Sie im On Demand Webinar von Arctic Wolf.

Mehr bei ArcticWolf.com

 


Über Arctic Wolf

Arctic Wolf® ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf® Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.


 

Passende Artikel zum Thema

CPS: Neue Malware IOCONTROL zielt auf KRITIS

Experten des Team82 haben eine gegen kritische Infrastruktur gerichtete Malware identifiziert. Die Cyberwaffe IOCONTROL stammt laut den Experten wahrscheinlich von ➡ Weiterlesen

Nordkorea: Cyberspionage bedroht internationale Sicherheit

In den letzten Jahren hat Nordkorea seine Fähigkeiten in der Cyberspionage enorm ausgebaut und gezielte Hackerangriffe auf internationale Unternehmen und ➡ Weiterlesen

APT-Gruppe TA397 attackiert Rüstungsunternehmen

Security-Experten haben einen neuen Angriff der APT-Gruppe TA397  – auch unter dem Namen „Bitter“ bekannt – näher analysiert. Start war ➡ Weiterlesen

Security-Breaches bei Firewall-Geräten von Palo Alto Networks

Am 18. November 2024 gab Palo Alto Networks zwei Schwachstellen (CVE-2024-0012 und CVE-2024-9474) in Palo Alto Networks OS (PAN-OS) bekannt. ➡ Weiterlesen

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Wenn Hacker die Security-Software übernehmen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe ➡ Weiterlesen