Erster Wurm "kriecht" durch Log4j-Sicherheitslücke
Die Bedrohungslage verschärft sich: Sicherheitsforscher haben den ersten Wurm entdeckt, der die Log4j-Lücke zur automatischen Weiterverbreitung missbraucht.
(Bild: JLStock/Shutterstock.com)
Die Log4j-Sicherheitslücke wird immer gefährlicher. Auf die ersten, noch manuellen Angriffe und Scans von IT-Sicherheitsforschern folgen jetzt automatisierte Versuche, die Sicherheitslücke auszunutzen. Nachdem einige Forscher vorsichtig spekuliert hatten, dass die Lücke ein Wurm-Potenzial hätte, holt sie die Realität nun ein: Sicherheitsforscher haben Varianten der Mirai-Botnet-Drohnen aufgespürt, die Wurm-artig verwundbare Server befallen und sich automatisch weiter verbreiten.
In einem Tweet vom vx-underground, einer großen Malware-Austausch-Community, bestätigt das Projekt, dass es sich bei einem gefundenen Sample um einen selbst ausbreitenden Mirai-Bot handele.
Dringend aktualisieren
Inzwischen ist auch die stark aktive Erpressergruppe Conti auf den Log4j-Zug aufgesprungen und nutzt die Schwachstelle, um in Server sowie Netzwerke einzudringen und ihre Ransomware einzurichten. Die so erhaltenen Zugänge verkauft die Cybergang weiter, ihr Geschäftsmodell nennt sich Ransomware-as-a-Service.
Zudem hat das Apache-Projekt Version 2.17.0 der Log4j-Bibliothek nachgeschoben. Sie schließt noch eine weitere Sicherheitslücke (CVE-2021-45105, CVSS 7.5, hohes Risiko), durch die Angreifer einen Denial-of-Service provozieren hätten können. Unter bestimmten Umständen hätten manipulierte Anfragen eine unkontrollierte Rekursion in einer selbst-referenziellen Lookup-Funktion auslösen können – etwas klarer formuliert bleibt Log4j in einer Endlos-Schleife hängen. Administratoren und IT-Verantwortliche sollten aufgrund der aktuellen Lage jetzt nicht mehr zögern und die neue Log4j-Version zügig installieren.
(dmk)