Log4-J

Wie eine Sicherheitslücke die IT-Welt in Atem hält
14. Dezember 2021 durch
Log4-J
42 N.E.R.D.S. GmbH, Vanessa Filler

Dunkle Augenringe, ein müdes Gähnen - so sahen Java-Entwickler weltweit gestern zum Montag aus. Das ganze Wochenende über haben sie versucht, die Sicherheitslücke im Softwareschnipsel Log4-J zu schließen.
Seit Freitag tobt der Kampf Programmierer gegen Hacker. Während die einen nach einer Lösung suchen, um die Lücke zu schließen, probieren die anderen, diese schnell noch auszunutzen.

Schon wenige Tage nachdem die Sicherheitslücke bekannt geworden ist, melden Sicherheitsforscher aus aller Welt zigtausende Versuche, die Schwachstellen zu finden und zu nutzen. So meldet beispielsweise das BSI “welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen”.
Inzwischen häufen sich auch die erfolgreichen Attacken. Die ersten Angriffe wurden von der Cybersicherheitsfirma Crowdstrike schon letzte Woche dokumentiert. Da das betroffene Framework zum Loggen von Anwendungsmeldungen in Java, Log4-J, in professionellen Anwendungen in Unternehmen so immens weit verbreitet ist, fehlt vielen Unternehmen noch immer der Überblick, wo die geschwächte Software im Einsatz ist.
Wir haben alle unsere Systeme bereits überprüft und sind nicht betroffen.

Das Problem

Diese Verbreitung sorgt auch dafür, dass teilweise ganze Unternehmen momentan offline sind und nach Schwachstellen in ihren Systemen suchen. Denn da Log4-J Teil der eigentlich vertrauenswürdigen hauseigenen IT ist, lösen Attacken bisher keinen Alarm bei den bestehenden Sicherheitssystemen aus. Eigentlich erfüllt der Logger nur eine eher unspektakuläre Aufgabe, aber ist in unzähligen Anwendungen integriert, die lokal in Unternehmen und eben auch in Cloud-Rechenzentren eingesetzt werden.

Die Sicherheitslücke ist mittlerweile unter “Log4Shell” bekannt und betrifft inzwischen mehr als 140 Unternehmen. Die Liste reicht von Amazon über Google bis hin zu Tesla. Einen Überblicken finden Sie in dieser Liste der betroffenen Unternehmen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Schwachstelle bereits kurz nach Bekanntwerden mit der höchsten Warnstufe “Rot” bewertet. So erklärt die Behörde, dass ein erfolgreiches Ausnutzen dieser Lücke “eine vollständige Übernahme des betroffenen Systems” ermögliche.

Die Aufgabe von Log4-J

Log4-J ist ein sogenannter Logger für die Software-Plattform Java. Wie ein automatisches Notizbuch soll das Programm protokollieren, welche Programmschritte ausgeführt, welche Daten erfasst, oder welche Anwendungen aufgerufen werden. Dort werden in vielen Systemen wichtige Schritte protokolliert, z.B. Details von Benutzereingaben.
Durch den Fehler in Log4-J ist es möglich, von außen schädlichen Code in die Software einzuschleusen. Dieser Schadcode besitzt dann alle Rechte, die auch das ausgeführte System hat und kann dieses als Sprungbrett in weitere, tiefer liegende Systeme nutzen.
Sicherheitsforscher haben jetzt allerdings entdeckt, dass Log4-J es nicht nur beim Verfassen der Protokolle belässt, sondern anscheinend auch in den Informationen enthaltene konkrete Programmbefehle ohne weitere Sicherheitsprüfung ausführt.

Vor Angriffen schützen

Anwender können aktuell nicht viel tun. Es liegt an den Herstellern, schnellstmöglich ihre Systeme auf Schwachstellen zu prüfen und Lücken zu stopfen. Insbesondere Unternehmen und Organisationen sollten Updates einspielen, sobald diese verfügbar sind. Verwundbare Systeme sollten schnellstmöglich auf Kompromittierungen untersucht werden. Hat ein Hersteller noch kein Statement abgegeben, kann es hilfreich sein, dort einfach mal anzufragen.
Heise online hat einen sehr ausführlichen Artikel zu Maßnahmen veröffentlicht, die jetzt funktionieren, oder auch nicht funktionieren.

Fazit

Das Internet brennt und aktuell ist noch nicht klar, welches Ausmaß diese Sicherheitslücke annimmt. Viele Schwachstellen sind noch nicht gefunden und werden vielleicht auch nicht in den nächsten Tagen entdeckt.
Klar ist, dass Log4Shell uns noch für Wochen, wenn nicht sogar Monate beschäftigen wird. Denn selbst wenn nicht jetzt sofort ein Angriff erfolgt, bauen sich Hacker vielleicht gerade reihenweise Hintertürchen in Softwaresysteme ein, um später zurückzukommen.
Solange nicht klar ist, wo überall Schwachstellen stecken, lautet der Rat der Experten: “Alle nicht zwingend erforderlichen Systeme abschalten”.