Hooepage Cybersecuritv Cyberpace Menschen
Nachrichtendienste kybernetische Waffen Bildung
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch
Schwach-stellen

Programme
Einfallstor für Schadsoftware : NSA entdeckt Sicherheitslücke bei Windows

Windows 10 hat einen Sicherheitsfehler So schwer die NSA offenbartes
Schwere Citrix-Lücke wird zu immer größerer Gefahr für Unternehmen
Microsoft plaudert versehentlich gefährliche Windows-Lücke aus

Microsoft bringt Update für kritische SMBv3-Sicherheitslücke


Eine Windows Defender-Sicherheits-anfälligkeit wurde 12 Jahre lang
unentdeckt


Vorbemerkungen zur Schwachstelle
Extrem kritische Sicherheitslücke bedroht Internetserver weltweit
Vermehrt Cyberangriffe: IT-Experten warnen vor Sicherheitslücke in Server-Software

BSI: Warnstufe Rot
Sicherheits-Super-GAU: Was ist Log4Shell, und wie geht es weiter?

Experten fürchten verheerende Angriffswelle wegen Sicherheitslücke in Logging-Software Log4j
Die Log4J-Schwachstelle wird das Internet jahrelang heimsuchen
Die nächste Welle von Log4J-Angriffen wird brutal
Schnallen Sie sich für mehr Log4j-Wahnsinn an
 
Standard

Sicherheits-Super-GAU: Was ist Log4Shell, und wie geht es weiter?



Ein Leck in einer vielfach verwendeten Programmkomponente lässt rund um die Welt die IT-Alarmglocken läuten

Die Log4j-Lücke und ihre Folgen dürften uns wohl noch lange Zeit begleiten.

Foto: Unsplash/Stillness InMotion
Eine am Donnerstag publik gewordene Sicherheitslücke in der Open-Source-Software Log4j sorgt für große Besorgnis bei IT-Sicherheitsspezialisten rund um die Welt. Das seit Jahren bestehende Leck ermöglicht einfach durchzuführende Angriffe mit potenziell schweren Folgen für die Sicherheit von Internetplattformen und ihrer Nutzer.

Doch was ist eigentlich Log4j, wie gefährlich ist das Leck wirklich und was muss nun geschehen? Wir liefern Antworten auf die brennendsten Fragen in Zusammenarbeit mit Andreas Berger. Er leitet den Bereich Application Security beim in Österreich gegründeten Dienstleister Dynatrace, welcher sich auf die Echtzeitanalyse von IT-Infrastruktur spezialisiert hat, um Probleme und Sicherheitslücken aufzuzeigen.

Was ist Log4j?
Bei Log4j handelt es sich um eine sogenannte Logging-Bibliothek. Sie wird unter dem Dach der Apache Foundation als quelloffene Software großteils von Freiwilligen entwickelt. Log4j wird in der Programmiersprache Java geschriebenen Web-Applikationen eingebunden, um Meldungen von diesen zu protokollieren. Häufig wird dies verwendet, um nachträglich nach Fehlern suchen zu können.

Der Bestand aufzeichenbarer Daten ist dabei sehr breit gefächert und reicht von grundlegenden Informationen des Browsers von Webseitennutzern bis hin zu technischen Detailinformationen über das System, auf dem Log4j läuft. Eingesetzt wird Log4j auch bei zahlreichen großen Anbietern von Clouddiensten, darunter Apple, Google, Microsoft und Cloudflare, als auch bei Plattformen wie Twitter oder Steam. Log4j zählt zu den verbreitetsten Logging-Frameworks im Internet.

Was hat es mit der Log4Shell-Lücke auf sich?
Log4j kann nicht nur einfache Protokolle anlegen, sondern auch Befehle ausführen, um erweiterte Logging-Informationen zu erzeugen. Dabei kann es auch mit anderen Quellen, wie etwa internen Verzeichnisdiensten, kommunizieren.

Angreifer haben in diesem Verfahren eine Schwachstelle entdeckt. Diese ermöglicht ihnen, Log4j einfach von außen mit Befehlen zu füttern und dazu zu bringen, von fremden Quellen gefährlichen Code herunterzuladen und auszuführen. Das birgt sehr hohes Gefahrenpotenzial (siehe nächster Punkt). Eine technisch detaillierte Erklärung des Lecks und der Angriffsmethode kann bei Golem nachgelesen werden.

Gemeldet wurde das Leck erstmals am 24. November vom Sicherheitsforscher Chen Zhaojun des chinesischen IT-Riesen Alibaba. Ein Angriff wurde erstmals am 9. Dezember dokumentiert und betraf Server des Spiels "Minecraft". Weitere datenforensische Auswertungen ergaben, dass Cyberkriminelle die Lücke schon früher entdeckt haben und sie zumindest seit dem 1. Dezember ausgenutzt wird.

Wie gefährlich ist die Lücke?
Ob und was sich damit anstellen lässt, hängt von den Spezifika des betroffenen Systems ab. Im Falle von "Minecraft" war es etwa möglich, sich einfach über Chatnachrichten Kontrolle über den Spielserver zu verschaffen, was bereits eine deutliche Demonstration des Schweregrads ist.

Den Möglichkeiten sind kaum Grenzen gesetzt. Es kann beliebiger Code am angegriffenen System ausgeführt werden, etwa um sensible Konfigurationsdaten abzugreifen. Mit dem Erbeuten dieser ist auch denkbar, dass Angreifer sich volle Kontrolle über das System und alle seine Daten und Anwendungen verschaffen. Vergleichbar wäre dies mit einem Einbrecher, der über die Haustür- und Tresorschlüssel verfügt.

Nach dem standardisierten Common Vulnerability Scoring System (CVSS) hat die Schwachstelle nicht umsonst eine Bewertung von 10/10 erhalten, sie gilt also als extrem kritisch.

Was können Privatnutzer nun tun?
Log4j wird häufig in Applikationen im Serverumfeld von Unternehmen und Organisationen eingesetzt. Im privaten Bereich ist Log4j wohl oft bei netzwerkfähigen Speichern und Smart-Home-Equipment anzutreffen, das man bis zur Verfügbarkeit eines Updates vom Internet trennen sollte. Seriöse Hersteller sollten zur Causa eine entsprechende Sicherheitsmeldung auf ihrer Website platziert haben.

Nutzer können darüber hinaus nichts dazu beitragen, das Problem zu beheben. Jedoch kann man sich bei Diensten, denen man wichtige Daten anvertraut hat, schlaumachen, ob sie betroffen sind und – wenn ja – welche Maßnahmen sie setzen.

Was können Unternehmen und Organisationen tun?
Firmen und Organisationen, die Log4j in eigenen Applikationen einsetzen, sollten ihre Anwendungen umgehend updaten. Bei Applikationen von Drittanbietern sollte eine schnelle Aktualisierung urgiert werden. Die kürzlich veröffentlichte Version 2.16.0 sichert die Bibliothek gegen den Log4Shell-Angriff ab. Es gibt zwar auch andere Sicherheitsmaßnahmen, deren Implementation ist jedoch sehr schwierig, da es unzählige Varianten möglicher Log4Shell-Angriffe gibt.

Andreas Berger leitet bei Dynatrace den Bereich Application Security.
Damit allein ist es aber nicht getan. Da nicht klar ist, wie lange solche Attacken bereits ausgeführt werden, ist es auch notwendig, nach früheren Verdachtsmomenten – etwa atypischen Zugriffsmustern – zu fahnden, um etwaige Kompromittierungen oder Datenabgriffe zu erkennen. Die Maßnahmen dürften einige Kosten verursachen und werden wohl gerade über die Weihnachtstage viele Überstunden der häufig ohnehin schon überarbeiteten IT-Teams erfordern.

Dabei könnte es nötig werden, sehr weit in die Vergangenheit zu blicken. Laut den Log4j-Entwicklern besteht die Schwachstelle seit Veröffentlichung der Version 2.0-beta 9. Diese wurde am 21. September 2013 veröffentlicht, also vor mehr als acht Jahren.

Grob vergleichen lässt sich die Situation mit der Causa Equifax. Der US-amerikanische Finanzdienstleister verlor dank mangelhafter Sicherheit im Jahr 2017 Daten von 145 Millionen US-Kunden und kassierte letztlich eine Strafe in der Höhe von 575 Millionen Dollar. Ein derartiges Szenario könnte dank Log4Shell auch anderen Firmen und Organisationen drohen, speziell wenn sie nun nicht schnell reagieren.

Wie ist der Ausblick?
Log4Shell wird nicht in zwei Wochen ausgestanden sein. Alle großen Services werden jetzt versuchen, die Lage zu analysieren und ihre Applikation upzudaten, was wohl länger dauern wird. Zahlreiche Plattformen und Software werden traurigerweise wohl nie eine Aktualisierung bekommen.

Gerade für Banken und andere kritische Dienstleister ist es dahingehend extrem wichtig, ihren in der Regel großen Applikationsbestand genau zu sichten und nicht mehr gepflegte Programme schleunigst zu ersetzen. Es ist anzunehmen, dass uns Log4Shell und seine Folgen uns noch über Jahre hinweg begleiten werden. (Georg Pichler, 14.12.2021)

Update, 21:55 Uhr: Mittlerweile wurde die Version 2.16.0 von Log4j veröffentlicht. Sie behebt ein Problem der Version 2.15.0, das dazu führte, dass die Schwachstelle unter bestimmten Bedingungen immer noch ausnutzbar ist. Die Versionsnummer wurde im Fließtext aktualisiert.

https://www.derstandard.de/story/2000131901059/sicherheits-super-gau-was-ist-log4shell-und-wie-geht-es