Sicherheits-Super-GAU: Was ist
Log4Shell, und wie geht es weiter?
Ein Leck in einer vielfach verwendeten
Programmkomponente lässt rund um die Welt die IT-Alarmglocken läuten
Die Log4j-Lücke und ihre Folgen dürften uns
wohl noch lange Zeit begleiten.
Foto: Unsplash/Stillness InMotion
Eine am Donnerstag publik gewordene
Sicherheitslücke in der Open-Source-Software Log4j sorgt für große
Besorgnis bei IT-Sicherheitsspezialisten rund um die Welt. Das seit
Jahren bestehende Leck ermöglicht einfach durchzuführende Angriffe mit
potenziell schweren Folgen für die Sicherheit von Internetplattformen
und ihrer Nutzer.
Doch was ist eigentlich Log4j, wie gefährlich
ist das Leck wirklich und was muss nun geschehen? Wir liefern Antworten
auf die brennendsten Fragen in Zusammenarbeit mit Andreas Berger. Er
leitet den Bereich Application Security beim in Österreich gegründeten
Dienstleister Dynatrace, welcher sich auf die Echtzeitanalyse von
IT-Infrastruktur spezialisiert hat, um Probleme und Sicherheitslücken
aufzuzeigen.
Was ist Log4j?
Bei Log4j handelt es sich um eine sogenannte
Logging-Bibliothek. Sie wird unter dem Dach der Apache Foundation als
quelloffene Software großteils von Freiwilligen entwickelt. Log4j wird
in der Programmiersprache Java geschriebenen Web-Applikationen
eingebunden, um Meldungen von diesen zu protokollieren. Häufig wird dies
verwendet, um nachträglich nach Fehlern suchen zu können.
Der Bestand aufzeichenbarer Daten ist dabei
sehr breit gefächert und reicht von grundlegenden Informationen des
Browsers von Webseitennutzern bis hin zu technischen Detailinformationen
über das System, auf dem Log4j läuft. Eingesetzt wird Log4j auch bei
zahlreichen großen Anbietern von Clouddiensten, darunter Apple, Google,
Microsoft und Cloudflare, als auch bei Plattformen wie Twitter oder
Steam. Log4j zählt zu den verbreitetsten Logging-Frameworks im Internet.
Was hat es mit der Log4Shell-Lücke auf sich?
Log4j kann nicht nur einfache Protokolle
anlegen, sondern auch Befehle ausführen, um erweiterte
Logging-Informationen zu erzeugen. Dabei kann es auch mit anderen
Quellen, wie etwa internen Verzeichnisdiensten, kommunizieren.
Angreifer haben in diesem Verfahren eine
Schwachstelle entdeckt. Diese ermöglicht ihnen, Log4j einfach von außen
mit Befehlen zu füttern und dazu zu bringen, von fremden Quellen
gefährlichen Code herunterzuladen und auszuführen. Das birgt sehr hohes
Gefahrenpotenzial (siehe nächster Punkt). Eine technisch detaillierte
Erklärung des Lecks und der Angriffsmethode kann bei Golem nachgelesen
werden.
Gemeldet wurde das Leck erstmals am 24.
November vom Sicherheitsforscher Chen Zhaojun des chinesischen IT-Riesen
Alibaba. Ein Angriff wurde erstmals am 9. Dezember dokumentiert und
betraf Server des Spiels "Minecraft". Weitere datenforensische
Auswertungen ergaben, dass Cyberkriminelle die Lücke schon früher
entdeckt haben und sie zumindest seit dem 1. Dezember ausgenutzt wird.
Wie gefährlich ist die Lücke?
Ob und was sich damit anstellen lässt, hängt
von den Spezifika des betroffenen Systems ab. Im Falle von "Minecraft"
war es etwa möglich, sich einfach über Chatnachrichten Kontrolle über
den Spielserver zu verschaffen, was bereits eine deutliche Demonstration
des Schweregrads ist.
Den Möglichkeiten sind kaum Grenzen gesetzt.
Es kann beliebiger Code am angegriffenen System ausgeführt werden, etwa
um sensible Konfigurationsdaten abzugreifen. Mit dem Erbeuten dieser ist
auch denkbar, dass Angreifer sich volle Kontrolle über das System und
alle seine Daten und Anwendungen verschaffen. Vergleichbar wäre dies mit
einem Einbrecher, der über die Haustür- und Tresorschlüssel verfügt.
Nach dem standardisierten Common Vulnerability
Scoring System (CVSS) hat die Schwachstelle nicht umsonst eine Bewertung
von 10/10 erhalten, sie gilt also als extrem kritisch.
Was können Privatnutzer nun tun?
Log4j wird häufig in Applikationen im
Serverumfeld von Unternehmen und Organisationen eingesetzt. Im privaten
Bereich ist Log4j wohl oft bei netzwerkfähigen Speichern und
Smart-Home-Equipment anzutreffen, das man bis zur Verfügbarkeit eines
Updates vom Internet trennen sollte. Seriöse Hersteller sollten zur
Causa eine entsprechende Sicherheitsmeldung auf ihrer Website platziert
haben.
Nutzer können darüber hinaus nichts dazu
beitragen, das Problem zu beheben. Jedoch kann man sich bei Diensten,
denen man wichtige Daten anvertraut hat, schlaumachen, ob sie betroffen
sind und – wenn ja – welche Maßnahmen sie setzen.
Was können Unternehmen und Organisationen tun?
Firmen und Organisationen, die Log4j in
eigenen Applikationen einsetzen, sollten ihre Anwendungen umgehend
updaten. Bei Applikationen von Drittanbietern sollte eine schnelle
Aktualisierung urgiert werden. Die kürzlich veröffentlichte Version
2.16.0 sichert die Bibliothek gegen den Log4Shell-Angriff ab. Es gibt
zwar auch andere Sicherheitsmaßnahmen, deren Implementation ist jedoch
sehr schwierig, da es unzählige Varianten möglicher Log4Shell-Angriffe
gibt.
Andreas Berger leitet bei Dynatrace den
Bereich Application Security.
Damit allein ist es aber nicht getan. Da nicht
klar ist, wie lange solche Attacken bereits ausgeführt werden, ist es
auch notwendig, nach früheren Verdachtsmomenten – etwa atypischen
Zugriffsmustern – zu fahnden, um etwaige Kompromittierungen oder
Datenabgriffe zu erkennen. Die Maßnahmen dürften einige Kosten
verursachen und werden wohl gerade über die Weihnachtstage viele
Überstunden der häufig ohnehin schon überarbeiteten IT-Teams erfordern.
Dabei könnte es nötig werden, sehr weit in die
Vergangenheit zu blicken. Laut den Log4j-Entwicklern besteht die
Schwachstelle seit Veröffentlichung der Version 2.0-beta 9. Diese wurde
am 21. September 2013 veröffentlicht, also vor mehr als acht Jahren.
Grob vergleichen lässt sich die Situation mit
der Causa Equifax. Der US-amerikanische Finanzdienstleister verlor dank
mangelhafter Sicherheit im Jahr 2017 Daten von 145 Millionen US-Kunden
und kassierte letztlich eine Strafe in der Höhe von 575 Millionen
Dollar. Ein derartiges Szenario könnte dank Log4Shell auch anderen
Firmen und Organisationen drohen, speziell wenn sie nun nicht schnell
reagieren.
Wie ist der Ausblick?
Log4Shell wird nicht in zwei Wochen
ausgestanden sein. Alle großen Services werden jetzt versuchen, die Lage
zu analysieren und ihre Applikation upzudaten, was wohl länger dauern
wird. Zahlreiche Plattformen und Software werden traurigerweise wohl nie
eine Aktualisierung bekommen.
Gerade für Banken und andere kritische
Dienstleister ist es dahingehend extrem wichtig, ihren in der Regel
großen Applikationsbestand genau zu sichten und nicht mehr gepflegte
Programme schleunigst zu ersetzen. Es ist anzunehmen, dass uns Log4Shell
und seine Folgen uns noch über Jahre hinweg begleiten werden. (Georg
Pichler, 14.12.2021)
Update, 21:55 Uhr: Mittlerweile wurde die
Version 2.16.0 von Log4j veröffentlicht. Sie behebt ein Problem der
Version 2.15.0, das dazu führte, dass die Schwachstelle unter bestimmten
Bedingungen immer noch ausnutzbar ist. Die Versionsnummer wurde im
Fließtext aktualisiert.
https://www.derstandard.de/story/2000131901059/sicherheits-super-gau-was-ist-log4shell-und-wie-geht-es