Kommentare zu folgendem Beitrag: Log4Shell: Eine Sicherheitslücke erschüttert das Internet
1 „Gefällt mir“
1 „Gefällt mir“
Alles gut. Um so mehr Informationen, um so besser. 
This could be a never ending story…just certainly for a couple of weeks or month…!!
Ist ja richtig Panik im Netz momentan - sind wohl endlich auch die letzten Admins wach geworden und betteln an jeder Ecke um Fixes!
Zum Beispiel bei vmware:
- Bislang 44 Produkte betroffen - Impacted Products (Under Evaluation)
Werden also noch so einige hinzukommen! Siehe:
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
Auch bitnami by vmware:
- Bitnami team is actively tracking and releasing any new application versions that ships a fixed version of Log4j for every format (virtual machines, containers, Helm charts) and for every supported Cloud Marketplace.
https://docs.bitnami.com/general/security/security-2021-12-10/
Ja wegen der VCSA werd ich die Tage mal schaun obs da aktuell nen patch nachgeschoben gibt.
Der Hypervisor ist zum Glück nicht betroffen.
Ich lach mich jetzt schon über die Leute kaputt, die nun, einige Stationen zurückgespult, ihre blöden Tomcat Server noch mehr als sonst schon üblich, streicheln dürfen. Ich sag ja schon seit über ner Dekade „Java is evil“. Versteh auch gar nicht weshalb man son Rotz noch immer aus purer coder Faulheit vielerorts einbauen lässt. 
2 „Gefällt mir“
Jap… 
Hier noch eine Hilfestellung (DB der CISA cisa.gov):
Wers brauch: https://kb.vmware.com/s/article/87088
Bei vmware türmt sich bzgl. der vCenter appliance ja eh schon seit Nov. so einiges:
https://kb.vmware.com/s/article/86191
bzw.
https://kb.vmware.com/s/article/86398
Sicherheitshinweise/Bulletins/Reaktionen von Anbietern im Zusammenhang mit Log4Shell (CVE-2021-44228)
Hier ein Sammel-Thread:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Angriffe auf VMware vCenter durch die Erpressungs-Gruppe „CONTI“
Conti suche bereits seit dem 13. Dezember nach der Lücke und nutze sie aus, berichtet Cimpanu auf Grundlage einer Untersuchung des Security-Unternehmens Advanced Intelligence. Demnach spüre Conti gezielt Server mit VMware vCenter auf, die bekanntermaßen anfällig für Log4Shell-Angriffe sind. Über solche Systeme sei die Ransomware-Gruppe bereits in Unternehmensnetzwerke gelangt.
Sie verteilen über einen Teil der alten Emotet-Struktur eine selbst abgewandele Mirai-Botnetdrohne an die gefährdeten Systeme!
Genutzte Infrastruktur:
| Firstseen (UTC) | Host | Malware | Status | Network (ASN) | Country |
|---|---|---|---|---|---|
| 2021-12-20 16:56:13 | 159.65.1.71 | Emotet | Online | AS14061 DIGITALOCEAN-ASN |
 SG |
| 2021-12-20 16:56:10 | 144.202.34.169 | Emotet | Online | AS20473 AS-CHOOPA |
 US |
| 2021-12-14 21:36:14 | 1.234.65.61 | Emotet | Online | AS9318 SKB-AS SK Broadband Co Ltd |
 KR |
| 2021-12-07 16:20:11 | 131.100.24.199 | Emotet | Online | AS61635 GOPLEX TELECOMUNICACOES E INTERNET LTDA - ME |
 BR |
| 2021-12-07 16:20:08 | 176.31.163.17 | Emotet | Online | AS16276 OVH |
 FR |
| 2021-12-03 00:05:09 | 202.29.237.113 | Emotet | Online | AS4621 UNINET-AS-AP UNINET- |
 TH |
| 2021-12-03 00:05:09 | 207.210.201.159 | Emotet | Online | AS62729 ASMALLORANGE1 |
US |
| 2021-12-03 00:05:09 | 164.90.159.54 | Emotet | Online | AS14061 DIGITALOCEAN-ASN |
US |
| 2021-12-03 00:05:09 | 91.207.181.106 | Emotet | Online | AS48275 TSMS-ABKHAZIA-AS |
 RU |
| 2021-12-03 00:05:08 | 51.75.33.120 | Emotet | Online | AS16276 OVH |
 PL |
| 2021-12-03 00:05:08 | 109.75.64.100 | Emotet | Online | AS59931 LEBOL-AS |
 LB |
| 2021-12-03 00:05:08 | 198.27.67.35 | Emotet | Online | AS16276 OVH |
 CA |
| 2021-12-03 00:05:07 | 207.180.228.237 | Emotet | Online | AS51167 CONTABO |
 DE |
| 2021-12-03 00:00:12 | 116.124.128.206 | Emotet | Online | AS9318 SKB-AS SK Broadband Co Ltd |
KR |
| 2021-12-02 09:10:08 | 172.104.227.98 | Emotet | Online | AS63949 LINODE-AP Linode, LLC |
DE |
| 2021-11-30 16:40:05 | 46.55.222.11 | Emotet | Online | AS51582 DCC- |
 BG |
| 2021-11-30 16:35:09 | 128.199.192.135 | Emotet | Online | AS14061 DIGITALOCEAN-ASN |
SG |
| 2021-11-25 17:05:07 | 41.76.108.46 | Emotet | Online | AS327979 DIAMATRIX |
 ZA |
| 2021-11-20 16:45:09 | 51.79.205.117 | Emotet | Online | AS16276 OVH |
SG |
| 2021-11-20 16:45:06 | 51.178.186.134 | Emotet | Online | AS16276 OVH |
FR |
| 2021-11-20 16:45:06 | 51.91.142.158 | Emotet | Online | AS16276 OVH |
FR |
| 2021-11-17 17:00:38 | 122.129.203.163 | Emotet | Online | AS38763 CYBERBINTAN-AS-ID PT. Cyber Bintan |
 ID |
| 2021-11-16 18:20:39 | 202.29.239.161 | Emotet | Online | AS4621 UNINET-AS-AP UNINET- |
TH |
| 2021-11-16 06:14:59 | 210.57.217.132 | Emotet | Online | AS38142 UNAIR-AS-ID Universitas Airlangga |
ID |
| 2021-11-16 06:14:54 | 51.68.175.8 | Emotet | Online | AS16276 OVH |
FR |
| 2021-11-15 19:41:19 | 177.72.80.14 | Emotet | Online | AS262543 BRMOM CONSTRUINDO CONEXOES LTDA |
BR |
| 2021-11-15 19:25:04 | 51.210.242.234 | Emotet | Online | AS16276 OVH |
FR |
| 2021-11-15 19:25:03 | 51.178.61.60 | Emotet | Online | AS16276 OVH |
FR |
| 2021-11-15 19:24:41 | 142.4.219.173 | Emotet | Online | AS16276 OVH |
CA |
| 2021-11-15 19:13:43 | 168.197.250.14 | Emotet | Online | AS264776 Omar Anselmo Ripoll TDC NET |
 AR |
| 2021-11-15 17:59:06 | 103.8.26.103 | Emotet | Online | AS132241 SKSATECH1-MY SKSA TECHNOLOGY SDN BHD |
 MY |
| 2021-11-15 17:59:02 | 103.8.26.102 | Emotet | Online | AS132241 SKSATECH1-MY SKSA TECHNOLOGY SDN BHD |
MY |
Damit ist Conti zwar nicht die erste Ransomware-Gang, die diese Lücke ausnutzt, aber wohl die mit dem bislang größten Bedrohungspotenzial. Die Conti-Gruppe ist ein weltweit führender „Anbieter“ von „Ransomware as a Service“ und mit der Methode auch finanziell überaus erfolgreich. Erpressungsangriffe durch Contis Malware haben weltweit zahlreiche Unternehmen, Institutionen und Behörden lahmgelegt, enorme Schäden angerichtet und ihren Urhebern viele Millionen US-Dollar Lösegeld eingebracht.