Warnstufe Rot wegen Log4j
Author
Robin Laufenburg, Di, 14. Dez. 2021
in Aktuelles

Warnstufe Rot wegen Log4j

Sicherheitslücke Log4Shell gefährdet etliche Anwendungen

Das BSI hat die höchste Alarmstufe für das gesamte Internet verhängt. Schuld daran ist eine schwerwiegende Sicherheitslücke in der Java-Bibliothek Log4j, die unzählige Webanwendungen betrifft.

Was es mit der Sicherheitslücke konkret auf sich hat und wie Sie sich privat oder geschäftlich schützen können, erfahren Sie hier!

Was ist Log4j?

Vergangenen Donnerstag (am 9. Dezember 2021) wurde eine Sicherheitslücke in der weitverbreiteten Logging-Bibliothek Log4j (kurz für „Logging for Java“) entdeckt. Mann kann sie dafür nutzen, sämtliche Ereignisse im Server- und Anwendungsbetrieb zu festzuhalten – bzw. sie wie in einem Logbuch präzise zu protokollieren. Auf diese Weise kann man zu einem späteren Zeitpunkt mögliche Fehler auswerten. Dies geschieht ebenfalls über Log4j.

Bei Log4j – auch Log4Shell genannt – handelt es sich um ein Open-Source-Projekt der Apache Software Foundation. Der entsprechende Java-Quellcode, mit dem man Log4j als digitalers Logbuch integrieren kann, steht dabei seit Jahren komplett kostenlos zur Verfügung und ist mittlerweile ein zentraler Baustein zahlreicher Programme.

Warnstufe Rot durch Log4j

Verbunden mit einer Sicherheitslücke in der Java-Bibliothek Log4j hat das BSI Warnstufe Rot ausgerufen. Bild: Pexels/YanKrukov

Sicherheitslücke „Log4Shell“

Mittlerweile wird die Sicherheitslücke als „Log4Shell“ bezeichnet. Cyberkriminelle können die Sicherheitslücke ausnutzen, indem sie manipulierte Anfragen an einen verwundbaren Server bzw. an eine angreifbare Anwendung schicken. Im nächsten Schritt können sie beliebige Softwarecodes ausführen lassen. Dazu gehört beispielsweise durch potenziell bösartige Java-Klassen generierte Schadsoftware, durch die sie zum Beispiel Computerwürmer einschleusen oder die Kontrolle über IT-Systeme übernehmen. Einzelne Sicherheitsfirmen haben heute bereits Angriffe, die von über 500 IP-Adressen ausgingen, verifiziert.

Kriminelle können also die Sicherheitslücke Log4Shell als Werkzeug missbrauchen, um über Log4j in Fremdsysteme einzubrechen. Bei der Sicherheitslücke Log4Shell handelt es sich nicht „nur“ um einen Exploit, sondern um ein Zero-Day-Exploit. Der Begriff gewann vergangenes Jahr durch eine Sicherheitslücke in Windows an Bekanntheit: Ein Zero-Day-Exploit ist eine Schachstelle, die entdeckt und bekannt wird, bevor sie behoben werden kann. Für die Lücke gibt es also noch keine Lösung, wenn sie an die Öffentlichkeit gelangt. Die Folge: Unternehmen, die mit ihren Produkten Log4j nutzen, konnten vor dem öffentlichen Bekanntwerden noch nicht an möglichen Lösungen für die Sicherheitslücke arbeiten.

Wo wird Log4j eingesetzt?

Log4Shell gilt nicht nur wegen des großen Schadens, den sie anrichten kann, als besonders gefährlich. Sie gilt auch als gefährlich, weil unzählige Webanwendungen Log4j verwenden. Vor allem gibt es dabei keinen genauen Überblick darüber, wo überall die mit Log4Shell gefährdeten Versionen von Log4j eingesetzt sind.

Es sind laut Medienberichten weltweit bekanntermaßen Millionen Apps und Serverlösungen von mehr als 140 Herstellern betroffen. Dazu gehören unter anderem Produkte und Dienstleistungen von Apple, Twitter, Amazon, LinkedIn der Spieleplattform Steam und dem Elektroautoherstellers Tesla.

Log4j wurde dabei zuerst auf Onlineservern von Microsofts Onlinespiel Minecraft entdeckt. Ein vermutlich aus China stammender Hacker hat die Informationen zur Sicherheitslücke veröffentlicht. Seitdem arbeiten IT-Sicherheitsfirmen und Java-Spezialisten unermüdlich daran, die Sicherheitslücke zu beseitigen.

Java-Quellcode

Hacker können die Schwachstelle Log4Shell ausnutzen, um eigenen Java-Quellcode auf Fremdservern auszuführen. Bild: Pexels/Pixabay

Log4j-Sicherheitsupdates

Kurzfristig haben die Apache-Entwickler laut einer Angaben Log4j Version 2.15.0 als ein erstes Sicherheitsupdate für die Versionen der quelloffenen Log4j-Bibliothek (Version 2.0-beta9 bis 2.14.1.) veröffentlicht. Die Schwachstelle ist also nur noch auf einigen der älteren Versionen der Java-Bibliothek beschränkt. Sollten Programme das Log4j-Update implementieren, sollten sie in ihren neuen Programmversionen also die Sicherheitslücke ebenfalls nicht mehr aufweisen.

Entsprechende sicherheitsrelevanten Log4j-Updates muss man jetzt in betroffene Firm- und Software integrieren. Das ist die Aufgabe der Entwickler, die auf Hochtouren daran arbeiten. Erst dann, wenn die Sicherheitslücke in betroffenen Programmen durch ein entsprechendes Sicherheitspatch geschlossen wurden, sind sie nämlich geschützt.

Programme mit Log4j updaten & Patch-Management

Es ist davon auszugehen, dass es in den nächsten Tagen und Wochen für die verschiedenen Server- und Webanwendungen, die Log4j nutzen, wichtige Sicherheitspatches geben dürfte. Gerade deswegen ist es so wichtig, dass sich sowohl Privatpersonen als auch Admins in Kleinbetrieben schnellstmöglich darum kümmern, herauszufinden, welche ihrer Anwendungen überhaupt auf Log4j zugreifen und ob es bereits Updates gibt oder welche geplant sind.

Mithilfe eines professionellen Patch-Managements erfahren Sie nicht nur, wann Sicherheitspatches verfügbar sind, sondern diese werden normalerweise auch direkt automatisiert installiert. PC-SPEZIALIST hat für Privatpersonen und Kleinbetriebe individuell gestaltbare Sicherheitspakete entwickelt, in denen das Patch-Management stets inkludiert ist:

  • Für Privatpersonen bietet sich das Eins-für-Alles-Paket von PC-SPEZIALIST an. Patches installieren sich mit dem Managed-Services-Paket immer automatisiert. Nutzen Sie es für Ihren privaten Rechner oder Ihr Notebook und bleiben Sie immer optimal geschützt. Bestandteil des Eins-für-Alles-Pakets ist dabei auch der kontrollierte Antivirenschutz, der verhindert, dass Schachstellen wie Log4j ausgenutzt werden können.
  • Kleine Firmen sollten Schwachstellen in Firmenrechnern, Diensthandys oder anderen Geräten immer sofort schließen. Das Patch-Management ist auch ein zentraler Bestandteil des IT-Basisschutzes von PC-SPEZIALIST. Es bildet die Grundlage für die IT-Sicherheit von kleinen Firmen und schließt auch Sicherheitslücken. Wenn Programme Sicherheitspatches herausbringen, werden sie sofort geprüft und installiert. Auch sollte immer dann, wenn Log4j nicht genutzt wird, ein besonderer Schutz vor Cyberangriffen gegeben sein. Deswegen sind der Managed Antivirus und Hardware-Firewall standardisierte Bestandteile vom IT-Basisschutz.

Kommen diese Hinweise für Sie bereits zu spät und wurden Sie bereits Opfer eines Log4j-Angriffs? In dem Fall ist PC-SPEZIALIST ebenfalls der passende Ansprechpartner für Sie.

Für Firmen: Server vorläufig sichern

Natürlich ist es eine Sache, die Fremdsoftware zu aktualisieren, eine andere aber, einen eigenen Server abzusichern. Deswegen haben die Apache-Entwickler in einer Sicherheitsmeldung aufgelistet, was Sie tun können, wenn Sie Ihren Server ohne Update vorläufig sichern möchten:

Bei Log4j ab Version 2.10 kann das Setzen der Systemeigenschaft „log4j2.formatMsgNoLookups“ auf “true” oder das Entfernen der JndiLookup-Klasse aus dem Klassenpfad (zum Beispiel mit dem Befehl zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class) Abhilfe schaffen.

Sie verstehen dieses Fachchinesisch nicht? Dann kontaktieren Sie doch einfach den PC-SPEZIALIST in Ihrer Nähe und lassen Ihren Firmenserver professionell absichern. Da eine solche Absicherung aber keine Dauerlösung ist, sollten Sie sich auch direkt um eine finale Sicherheitslösung bemühen. Selbstverständlich steht Ihnen auch hierbei PC-SPEZIALIST gern zur Verfügung.

Log4j

Log4j ist eine Java-Bibliothek, die Bestandteil unzähliger Programme ist. Dass sie eine Sicherheitslücke aufweist, ist ein globales Disaster. Bild: Pexels/AneteLusina

Bewertung der Sicherheitslücke in Log4j

Während direkt nach Bekanntmachung bereits erste große Angriffswellen gestartet wurden und IT-Sicherheitsexperten Sonderschichten eingelegt haben, hat man bis heute noch keine ideale Lösung zur Behebung der globalen Sicherheitsproblematik gefunden. Zwar konnte man bereits eine Lösung für die Sicherheitslücke in der Software finden; dennoch ist die Sicherheitslücke Log4Shell aber geradezu „allgegenwärtig“.

Einige weitere Personen des öffentlichen Interesses, die in der IT-Sicherheitsbranche beheimatet sind, verweisen auf die Log4j-Sicherheitslücke als großes Desaster. Amit Yoran, Chef der IT-Sicherheitsfirma Tenable, bezeichnete sie beispielsweise als „schlimmste Sicherheitslücke des vergangenen Jahrzehnts“. Und Thorsten Holz, Professor am Helmholtz-Zentrum für Informationssicherheit (CISPA) in Saarbrücken, prognostizierte gegenüber dem Handelsblatt, dass die Auswirkungen von Log4Shell noch die nächsten Wochen oder Monate, womöglich sogar die nächsten Jahre spürbar sein dürften.

Warnstufe Rot wegen Log4Shell

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 11. Dezember 2021 wegen Log4j die höchstmögliche Alarmstufe, die sogenannte Warnstufe Rot (Risiko kritisch), ausgerufen. Zuerst hat das BSI nur die Warnstufe Orange vergeben. Als Begründung für die Notwendigkeit einer Erhöhung hat es aber auf das Ausmaß der Sicherheitslücke und die zum Teil erfolgreichen Angriffe verwiesen. Laut BSI verzeichneten anfangs vor allem Angriffe durch Cryptojacker und Botnetze Erfolge. Bei diesen Angriffsformen handelte es sich um Vorreiter von weiteren Angriffswellen. Mittlerweile wurde Mirai als erste wurmartige Botnet-Drohne identifiziert, die sich die Log4j-Sicherheitslücke für ihre automatische Weiterverbreitung zunutze macht.

Auf der sogenannten CVSS-Skala wird die Tragweite einer Gefahr deswegen mit bis zu zehn Punkten (CVSSv3 10/10) bewertet. Log4Shell hat auch schon eine bzw. eine CVE-Nummer erhalten: CVE-2021-44228. Hierbei handelt es sich um eine Art präzise Identifikationsnummer, die hinter dem umgangssprachlichen Namen steht.

Unter anderem hat das BSI die Warnstufe Rot über die Webplattform Twitter bekanntgegeben:

Schaden durch Log4Shell

Durch die Sicherheitslücke Log4Shell ist bereits ein unvorstellbarer Schaden entstanden. Es konnten laut Medienberichten etliche Angriffe verzeichnet werden, von denen einige nachweislich erfolgreich waren. Zwar gibt es bereits ein Sicherheitsupdate für die Java-Bibliothek Log4j, doch wird es noch lange dauern, bis alle Firmware- und Software-Lösungen angepasst sind.

Derzeit ist allerdings noch immer noch völlig unklar, wie viele Firmen betroffen sein könnten. Sicher ist aber, das es nicht wenige sein werden. Immerhin ist die die Java-Bibliothek Log4j eine beliebte Komponente in extrem vielen Java-Anwendungen. Auf der Software- und Entwicklungsplattform GitHub gibt es eine längst nicht vollständige Liste von Diensten, bei denen der am Freitag veröffentlichte Proof-of-Concept-Code (PoC) angeschlagen hat, die also Log4Shell als Bestandteil implementiert haben.

Log4Shell: Wie konnte es dazu kommen?

Das von der Apache Software Foundation betreute Projekt Log4j wurde übrigens nur von zwei Personen, Ralph Goers und Gary Gregory, auf die Beine gestellt. Sie arbeiten dabei aber nicht vollberuflich an der Erstellung und Pflege. Goers schreibt so auf seiner Github-Sponsors-Seite:

„Ich habe die ersten Versionen von Apache Log4j 2 entwickelt und konzentriere mich weiterhin auf Support und Verbesserungen, um Apache Log4j 2 zum besten Logging-Framework für Java-Entwickler zu machen. Derzeit habe ich eine Vollzeitstelle als Softwarearchitekt. In meiner Freizeit arbeite ich an Log4j und anderen Open-Source-Projekten […].“

Was an dem Vorfall wahrscheinlich am stärksten zu kritisieren ist, ist die Tatsache, dass die Sicherheit von Millionen zum Teil weltweit etablierten Anwendungen auf Fertigkomponenten aus kleinen Open-Source-Projekten beruhen. In diesem Fall rund um Log4j haben sie sogar nur zwei Personen unentgeltlich entwickelt und betreut. Kommentare kritisieren in den Weiten des Internets, dass nicht Weltkonzerne die Sicherheitslücke in ihren eigenen Programmen bemerkt oder die Komponenten gründlich geprüft haben. Falls Sie selbst noch Fragen oder Anmerkungen rund um das Thema Log4Shell haben, dann schreiben Sie diese gern in die Kommentare.

_______________________________________________

Weiterführende Links: heise online (Ratgeber), heise online (News), Handelsblatt, Golem.de, Golem.de, IT-Business, watson, Sophos News, ZDNet

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.