Log4Shell-Bug gefährdet das Internet

Weltweit kämpfen Unternehmen damit, den Schaden zu begrenzen, der durch eine der bedeutendsten Open-Source-Software-Sicherheitslücken der letzten Jahre entstanden ist. Dies wurde am Freitag, den 10. Dezember, erstmals öffentlich bekannt. Ein Fehler in einem Programm namens Log4j, das in zahllosen Java-Anwendungen der letzten zwei Jahrzehnte verwendet wurde, hat praktisch jedes Unternehmen, das im Internet tätig ist, dazu gezwungen, seine Software auf Schwachstellen zu überprüfen.

In Brasilien zum Beispiel erreichte die Auswirkung dieser Ausnutzung 53 % der Unternehmensnetzwerke, die von Versuchen dieser Ausnutzung betroffen waren, wie eine Umfrage von Check Point Research (CPR) ergab. Das ist ein höherer Anteil als der weltweite Gesamtanteil von 44 %. Mehr als 90 Länder waren betroffen.

Die als kritisch eingestufte Zero-Day-Schwachstelle mit dem Namen Log4Shell wurde zunächst ausgenutzt, um Minecraft-Server zu kompromittieren. Vier Tage nach der ersten Meldung ist jetzt klar, dass es sich um eine ernsthafte Bedrohung handelt, die zahlreiche Cloud-Dienste gefährdet. Bedrohungsanalysten und Forscher sind noch dabei, den Schaden zu bewerten, aber die Prognosen sind nicht besonders gut.

„Es handelt sich um eine ernste Schwachstelle, da Java und das log4j-Paket weit verbreitet sind”, sagte Cloudflare-CTO John Graham-Cumming gegenüber The Verge. „Das Problem: Es gibt viel Java-Software, die mit dem Internet verbunden ist und auf Back-End-Systemen läuft.”

Das wissen wir bisher über die Sicherheitslücke:

• Log4j ist eine Open-Source-Protokollierungsbibliothek, die von Online-Anwendungen und Internetdiensten verwendet wird. Bei der Protokollierung handelt es sich um einen Prozess, bei dem Anwendungen eine laufende Liste darüber führen, welche Aktivitäten sie durchgeführt haben. Im Falle eines Fehlers können die Protokolle später überprüft werden. Fast jedes Netzwerksicherheitssystem führt irgendeine Art von Logging-Prozess aus, was erklärt, wieso bekanntere Bibliotheken wie log4j so vielgenutzt sind.
• Der Log4Shell-Bug ermöglicht es einem Angreifer, einfach eine sorgfältig erstellte Zeichenfolge in ein Webformular einzugeben. Einmal eingeloggt veranlasst er den Computer bösartigen Code herunterzuladen.
• Ab diesem Zeitpunkt können Fremde auf den Computer zugreifen.
• So können Kriminelle die Schwachstelle, die einen vollständigen Fernzugriff auf interne Netzwerke ermöglicht, für sich nutzen. Es lassen sich zum Beispiel Daten infiltrieren oder extrahieren. Auch möglich: Cyberkriminelle schleusen Malware ein und löschen wichtige Informationen auf nicht gepatchten Geräten.
• Die Log4Shell-Schwachstelle kann genutzt werden, um Server von Unternehmen wie Apple, Amazon, Cloudflare, Twitter, Steam, Baidu, NetEase, Tencent und Elastic sowie von vielen anderen Unternehmen zu hacken.
• Fast alle Versionen von Log4j sind anfällig, von 2.0-beta9 bis 2.14.1.
• Da ein Angreifer die Schwachstelle nutzen könnte, um ein betroffenes System dazu zu zwingen, Befehle von einem bösartigen Remote-Server zu akzeptieren, warnt Sean Gallagher, Senior Threat Researcher bei Sophos, vor schwerwiegenden Folgen. Beispielsweise dem Herunterladen und Installieren aller Arten von Code auf anfälligen Systemen, einschließlich Cryptocurrency Minern oder anderer bösartiger Software.

Die Hauptursache für Log4Shell, formell bekannt als CVE-2021-44228, ist das, was NIST als unsachgemäße Eingabevalidierung bezeichnet. Das heißt: Der Nutzer verlässt sich zu sehr auf nicht vertrauenswürdige Daten. Diese kommen von Außenstehenden, die die Software hacken und für kriminelle Machenschaften nutzen.

Was CVE-2021-44228 besonders gefährlich macht, ist die Leichtigkeit, mit der diese Schwachstelle ausgenutzt werden kann: Selbst ein unerfahrener Hacker kann einen Angriff über diese Schwachstelle erfolgreich durchführen. Nach Angaben von Sicherheitsforschern müssen Angreifer die Anwendung nur dazu zwingen, eine einzige Zeichenfolge in das Protokoll zu schreiben, und danach können sie dank der Funktion zum Überschreiben von Warnmeldungen ihren eigenen Code in die Anwendung laden.

Für die meisten großen Unternehmen und Behörden stellt sich nicht die Frage, ob sie betroffen sind, sondern eher wie viele Systeme betroffen sind. Es gilt nun, alle gefährdeten Systeme zu identifizieren und zu reparieren. Erschwerend kommt hinzu, dass viele Behörden, Unternehmen und Verbraucher wahrscheinlich nicht wissen, ob sie Produkte besitzen, die den Code verwenden. Die Cybersecurity and Infrastructure Security Agency (CISA) arbeitet daran, eine umfassende Liste aller Produkte zu erstellen, die den betroffenen Code enthalten. Zudem wurden Sicherheitsforscher aufgefordert, Details zu allen Produkten mitzuteilen, die mutmaßlich ebenfalls infiziert sind.

Ein Update für die log4j-Bibliothek wurde bereits veröffentlicht, um die Schwachstelle zu entschärfen. Aber angesichts der Zeit, die benötigt wird, um sicherzustellen, dass alle anfälligen Rechner aktualisiert werden, bleibt Log4Shell eine dringende Bedrohung.

Oracle hat ein Sicherheits-Patch veröffentlicht und den Kunden empfohlen, es aufgrund der Schwere der Sicherheitslücke so schnell wie möglich anzuwenden.

Trend Micro hat ebenfalls reagiert und eine schnelle, webbasierte Suchfunktion entwickelt, um Anwendungen zu identifizieren, die von Log4Shell angegriffen werden können.

Und Informationen von The Ecletic Light Company berichten, dass Apple einen Patch für iOS/iPadOS 15.2 und macOS Monterey 12.1 zur Verfügung gestellt hat.