Warnstufe Rot – Log4j-Lücke in Java-Bibliothek

14. Dezember 2021
4 min

Am 9. Dezember wurde eine schwerwiegende Remote-Code-Schwachstelle in Apache’s Log4j aufgedeckt, einem weit verbreiteten Protokollierungssystem, das von Entwickler:innen von Web- und Serveranwendungen auf der Basis von Java und anderen Programmiersprachen verwendet wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte am Samstag, den 10. Dezember seine Warnstufe zu der Sicherheitslücke auf Rot. Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien.

Die Lücke mit der Bezeichnung “Log4Shell” erhielt die CVE-Nummer (CVE-2021-44228, Risiko kritisch, CVSSv3 10/10) und gefährdet zahlreiche Applikationen und Services, die die Log4j-Bibliothek nutzen. Globale Unternehmen wie Amazons Cloud-Dienst AWS, Apples iCloud oder das bei Jugendlichen beliebte Spiel Minecraft waren oder sind betroffen – ebenso ist zu erwarten, dass viele Unternehmen in der DACH-Region Ziele von Hacker-Angriffen sind.

Was ist Log4j?

Log4j ist eine sogenannte Logging-Bibliothek für die Protokollierung, die vorrangig in Java und Apache Webservern verbreitet ist. Sie ist in den letzten Jahrzehnten zum de facto Standard für Protokollierung geworden und ist dafür zuständig diverse Ereignisse im Server-Betrieb, wie in einem Logbuch festzuhalten – zum Beispiel für eine Auswertung von Fehlern.

Viele Softwareentwickler:innen bedienen sich dieses Protokollierungs-Frameworks und implementieren es in ihren Applikationen. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge gespeichert wird. Damit ist sie vergleichsweise einfach auszunutzen, was Expert:innen in große Sorge versetzt.

Was beschreibt die Lücke?

Durch dem Webserver übergebene Zeichenfolgen kann Log4j beliebig manipuliert werden. Durch bestimmte, mittlerweile weit verbreitete und beliebig gestaltbare Zeichenketten nimmt Log4j Befehle von außerhalb entgegen und führt diese auf dem Server aus.

Allein damit lassen sich Schwachstellen aktivieren und gesamte Systeme sehr einfach übernehmen. Auf diese Weise kann weitere Schadsoftware eingeschleust werden. Das größte Problem hierbei ist, dass alles was protokolliert wird, potentiell gefährlich ist. Zum Beispiel wie in folgendem Szenario: Angreifer:innen wollen bei Apple in der iCloud (Nutzung Log4j) einen Schadcode einschleusen? Kein Problem. Das iPhone wird nach einem bestimmten Schema benannt und der Angriff kann losgehen. Diese Sicherheitslücke ist inzwischen geschlossen.

Doch ist es wirklich so schlimm?

Die Schwachstelle an sich ist hochgradig kritisch. Die große Menge an Einfallstoren und die Einfachheit der Lücke zeigt sehr kurzfristig erste Attacken. Dadurch, dass das Einfallstor so simpel ist und sich Protokollierungen nicht so einfach abschalten lassen, gibt es unfassbar viele anfällige Systeme im Netz. Die massive Verbreitung von Java sowie der veröffentlichte Proof-of-Concept (PoC) tun ihr übriges dazu. Man sollte aber trotz der Bedrohung nicht in Panik verfallen. Man darf nicht vergessen, dass es vorrangig um aus dem Internet erreichbare Systeme geht. Erste Patches und Versionsupdates versprechen schnelle Abhilfe, wie Apache über eine Sicherheitsmeldung informiert.

Das BSI empfiehlt folgende Sofortmaßnahmen:

Führen Sie das Update auf die aktuelle Version 2.15.0 von "Log4j" schnellstmöglich in allen Anwendungen durch
Spielen Sie Updates Ihrer übrigen Geräte und Dienste ein, sobald sie zur Verfügung stehen
Schalten Sie nicht zwingend benötigte Systeme ab
Prüfen Sie, mit welchen Rechten die betroffenen Dienste versehen sind und reduzieren Sie diese auf das notwendige Minimum
Server sollten generell nur solche Verbindungen (insbesondere in das Internet) aufbauen dürfen, die für den Einsatzzweck zwingend notwendig sind

Angesichts des Schweregrads und der weiten Verbreitung dieser Sicherheitslücke wird dringend empfohlen, das Vorhandensein beziehungsweise die Verwendung von Log4j in allen Anwendungen, Systemen und Diensten in der Umgebung von IT-Sicherheitsexpert:innen überprüfen zu lassen und ggf. für Serveranwendungen Updates durchführen zu lassen.

Rufen Sie uns am besten noch heute an unter +49 800 28 680 28 oder senden Sie uns Ihre Kontaktdaten über das untenstehende Formular. Unser Expert:innenteam wird sich umgehend mit Ihnen in Verbindung setzen und die nächsten Schritte abstimmen.

Weitere Informationen im Webinar

Über unseren IT Security Partner Sophos können Sie sich noch weitere, aktuelle Informationen zu den Entwicklungen und Risiken einholen. Im kostenfreien Webinar am 15.12.2021 zur Log4Shell-Schwachstelle erfahren Sie unter anderem:

Wie Hacker die Server-Schwachstelle Log4Shell aktuell ausnutzen
Wie man sich vor dieser Bedrohung schützen kann
Lehren für den Schutz bei zukünftigen Schwachstellen

Webinar: Log4Shell-Schwachstelle
Was ist passiert und was können wir daraus lernen?

Mittwoch, 15. Dezember 2021 | 11:00 – 11:30

Anmeldung: https://register.gotowebinar.com/register/6511396240280245264
(Sie werden zu unserem Partner Sophos weitergeleitet)

Kontaktieren Sie uns am besten noch heute:

Bitte füllen Sie alle Pflichtfelder aus.

Weiterführende Links:

IT Security

Security Audit

Diesen Artikel teilen