AWS: Amazon-Hotpatch für log4j-Lücke ermöglicht Rechteausweitung

AWS: Amazon-Hotpatch für log4j-Lücke ermöglicht Rechteausweitung

Zum temporären Absichern der log4j-Sicherheitslücke hat Amazon seinen Cloud-Kunden ein Hotpatch-Skript bereitgestellt. Eine Schwachstelle in diesem Skript könnte jedoch Angreifern ermöglichen, ihre Rechte auszuweiten und dadurch etwa die Kontrolle zu übernehmen.

Eigentlich soll das Skript log4j-cve-2021-44228-hotpatch die laufenden Java-Prozesse durchforsten, einige Checks vornehmen und verwundbare Java-VMs mit einem Hotfix versehen neu starten. Es ersetzt dabei jedoch nicht das korrekte Abdichten der log4j-Sicherheitslücke mit aktualisierter Java-Software. Das Skript soll lediglich als Übergangslösung zum Einsatz kommen.

Amazon schreibt in einer Sicherheitsmeldung, dass das Skript vor der aktuellen Fassung log4j-cve-2021-44228-hotpatch-1.3-5 aufgrund einer so genannten Race-Condition die lokale Rechteausweitung ermöglichen könnte. Ein Nutzer könnte das Skript dazu bringen, eine Binärdatei mit erhöhten Rechten auszuführen, indem er einen angepassten Java-Prozess startet. Dieser muss per exec() eine Set-User-ID-Binärdatei aufrufen, nachdem der Hotpatch den Prozesspfad untersucht hat, aber noch bevor es die effektive User-ID abgefragt habe.

Als Einschränkung müssen angreifende Nutzer angemeldet sein und die Berechtigung innehaben, eigene Programme zu starten. Amazon stuft die Sicherheitslücke als wichtig (important) ein.

Administratoren, die das Skript installiert haben, sollten sich daher dringend darum kümmern. Um die aktualisierte Version des Hotpatch-Skripts zu installieren, die die Fehler beseitigt, empfiehlt Amazon den Aufruf von

yum update log4j-cve-2021-44228-hotpatch

Die korrekte Lösung wäre jedoch, die eingesetzte Software so zu aktualisieren, dass sie die log4j-Sicherheitslücke nicht mehr aufweist. Danach sollten IT-Verantwortliche das Hotpatch-Skript gänzlich deinstallieren, um die Angriffsoberfläche nicht unnötig zu vergrößern.


(dmk)

Zur Startseite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.