Die Schwachstelle Log4Shell in der Java-Bibliothek Log4J Was Unternehmen jetzt tun sollten

Am 09. Dezember wurde erstmals die Zero-Day-Lücke mit dem Namen Log4Shell öffentlich bekannt. Diese Schwachstelle betrifft das sehr bekannte und weit verbreitete Framework Apache Log4J. Log4J ist eine Java-Bibliothek, die wie eine Art Logbuch Anwendungsmeldungen und Informationen dokumentiert. Als Quasi-Standard wird Log4J in den allermeisten Java-Applikationen verwendet und ist innerhalb von Unternehmensanwendungen eine der meistgenutzten Bibliotheken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Schwachstelle als „extrem kritisch“ ein und kategorisiert sie mit der BSI-Cyber-Warnstufe „rot“.

Was macht Log4Shell so gefährlich und wie läuft ein Angriff ab?

Die Schwachstelle ist so kritisch, weil sie beliebige Angriffsmöglichkeiten bietet. Von der Ausführung von Schadsoftware bis hin zur vollständigen Übernahme des Systems bietet diese Sicherheitslücke Hackern und Cyber-Kriminellen nahezu unendlich Optionen. Die Angriffe passieren dabei alle aus der Ferne und es bedarf keiner Authentifizierung. Log4Shell – mittlerweile als CVE-2021-44228 identifiziert – wird durch einen Mechanismus in Log4J ermöglicht, der protokollierte Informationen auswertet und interpretiert. Dieser Vorgang, auch Lookup genannt, führt z.B. bei URLs zum Aufruf des entsprechenden Pfades. Sollte dann ausführbarer Programmcode unter der URL verfügbar sein, wird auch dieser ausgeführt. Im Detail geht es um die Java-Klasse „JndiLoopup.class“ als Bestandteil des Java Naming and Directory Interface. Dadurch wird ermöglicht, dass Informationen über Protokolle, wie z.B. LDAP remote abgerufen werden können. Genau hier setzen Angreifer an, denn Log-Nachrichten können dadurch gezielt manipuliert werden.

Wer ist von der Schwachstelle betroffen?

Kurz gesagt: nahezu jedes Unternehmen weltweit, das auf Java-basierte Systeme setzt. Angreifbar sind nicht nur direkt erreichbare Serversysteme, sondern auch Systeme im Hintergrund wie Client-Software, Backend-Server oder auch weit verbreite Monitoring-Tools wie Splunk oder Elasticsearch. Angriffsversuche werden bereits im großen Stil umgesetzt. Aktuell berichten Cyber Security Experten von weltweit bis zu 100 Angriffen pro Minute in den ersten drei Tagen nach Bekanntwerden und Veröffentlichung der Sicherheitslücke. Bisher (Stand: 15.12.2021) sind weit über 800.000 Angriffe registriert worden. Dabei wurden u.a. die betroffenen Systeme für Botnetze gekappert oder Rechenkapazitäten für Crypto-Mining missbraucht. Die Liste der betroffenen Hersteller wird täglich länger und prominenter. Betroffen sind bislang beispielsweise: Amazon, Apache, Apple, Cisco, Citrix, Google, IBM, LinkedIN, Twitter und VMWare. Selbst der E-Auto Riese Tesla ist in die Problematik involviert. Neben diesen Big Playern der Branche sind aber auch immens viele Unternehmen betroffen, die z.B. zur Durchführung ihrer Geschäftsprozesse auf Java-basierte Individualsoftware setzen.

Wie können Unternehmen feststellen, ob Sie betroffen sind?

Zunächst ist es wichtig, festzustellen, welche Version von Log4J verwendet wird und ob diese vor dem Release 2.15.0 liegt. Das lässt sich beispielsweise durch, auf Java basierende, Build-Management-Tools wie Maven oder Gradle identifizieren. Darüber hinaus können Tools wie z.B. Log4j-detector Unternehmen helfen, das eigenen Risiko zu ermitteln und die individuelle Bedrohung zu evaluieren.

Welche Gegenmaßnahmen können Unternehmen kurzfristig umsetzen – eine Top-5 der besten Tipps:

1. Sicherstellen, dass System-Backups – mindestens nach der 3-2-1 Backup-Regel – eingerichtet und getestet sind.
2. Auf Herstellermeldungen achten und parallel recherchieren, ob eigene Anwendungen betroffen sind.
3. Umgehend die empfohlenen Patches bei betroffenen Systemen durchführen.
4. Unterbindung des ausgehenden Verbindungsaufbaus sowie der DNS-Abfrage durch gefährdete Systeme.
5. Anweisungen des BSI umsetzen. Das BSI hat einen Leitfaden veröffentlicht, der Notfallmaßnahmen beschreibt, bis Updates von System-Herstellern bereitgestellt werden.

Was können Unternehmen in der Zukunft präventiv tun?

Eins ist sicher, Log4Shell wird natürlich nicht die letzte Sicherheitslücke sein, die Unternehmen öffentliche Organisationen oder die kritische Infrastruktur bedrohen wird. So stellt sich die Frage, was präventiv getan werden kann? Leider wird es nie einhundertprozentige Sicherheit geben. Eine wirksame Strategie ist es jedoch, Hackern und Cyber-Kriminellen möglichst den einen, entscheidenden Schritt voraus zu sein, sprich die Sicherheitslücke zu erkennen, bevor es zu einem externen Angriff kommt. Dafür empfiehlt sich die regelmäßige Durchführung von Penetrationtests. Penetration Testing oder auch Ethical Hacking setzt dabei auf ähnliche Methoden, wie sie auch Hacker nutzen, um Sicherheitslücken und Schwachstellen aufzudecken und so in Systeme einzudringen. Die Absichten dabei sind natürlich nicht kriminell motiviert. Vielmehr geht es darum, identifizierte Sicherheitslücken zu schließen und IT-Verantwortliche zu sensibilisieren. Die Vielfalt unterschiedlicher Arten von Penetrationtests ist groß und hängt vom jeweils zu testendem System ab. Von den simulierten Angriffen auf Web- oder Mobile-Applikationen über das Testen von Web Services und Schnittstellen bis hin zur Analyse ganzer Netzwerke existiert ein breites Service-Spektrum.