Log4j Sicherheitslücke: Das müssen Sie wissen

21. Dezember 2021

IT-Security

von PSW GROUP Redaktion

log4j-2021 — ©weerapat1003 - stock.adobe.com

Das Jahr endet mit einer fulminanten IT-Krise: Die Log4j Sicherheitslücke macht Unternehmen sowie Behörden angreifbar, das BSI gibt eine Cyber-Sicherheitswarnung der Warnstufe Rot heraus. Angriffe laufen bereits; Microsoft warnt sogar vor einer noch größeren Sicherheitsbedrohung als bei SolarWinds. Im heutigen Beitrag klären wir Sie deshalb über die Log4j Sicherheitslücke auf, zeigen potenzielle Folgen sowie die aktuelle Bedrohungslage und informieren Sie, ob auch Sie von der Lücke betroffen sind. Außerdem erläutern wir Ihnen hilfreiche Tipps zum eigenen Schutz.

Was ist die Log4j Sicherheitslücke?

Bei Log4j handelt es sich um eine weitverbreitete Protokollierungsbibliothek für Java-Anwendungen. Die Protokolldaten von Anwendungen lassen sich mittels Log4j performant aggregieren – Ereignisse im Serverbetrieb lassen sich also mithilfe von Log4j protokollieren. Am 10. Dezember 2021 wurde die Log4j Sicherheitslücke (CVE-2021-44228) bekannt, nachdem sie auf den Servern des Online-Games „Minecraft“ auffiel.

Was kann durch die Log4j Sicherheitslücke passieren?

Betroffen von der Log4j Sicherheitslücke sind die sehr weit verbreiteten Versionen 2.0 bis 2.14.1. Angreifende können die zum Logging verwendete Log4J-Java-Bibliothek nutzen, um remote Code zu injizieren. Das kann Angreifenden gelingen, wenn sie Log4j nutzen, um von Angreifenden kontrollierte Zeichenketten zu protokollieren. Angreifende, denen es gelingt, Zeichenketten, die aus Text oder Befehlen bestehen können, auf von ihnen kontrollierten Servern in der durch Log4j verwalteten Protokolldatei anzugeben, können dann Server erfolgreich übers Logging kapern („Log4Shell“).

Ein Beispiel zum Verdeutlichen: Eine Webshop-Betreiberin nutzt Log4j auf ihrem Apache-Server. Der Befehl, Kontakt zu einem Server – nämlich dem Server des Angreifers – aufzunehmen, wird durch Log4j protokolliert. In diesem Zuge wird der Shop-Server Java-Code annehmen und ausführen – jedoch hat der Angreifer zunächst Malware in den Code integriert. Diese gelangt auf somit auf den Shop-Server, der durch den Angreifer auch komplett übernommen werden könnte.

Es sind nicht nur Online-Systeme, sondern auch Anwendungen gefährdet. Durch die Lücke wäre es möglich, dass Angreifende Ransomware verteilen oder Hintertüren einbauen, die sie erst zu einem späteren Zeitpunkt ausnutzen. Die Schwachstelle ist leider sehr leicht ausnutzbar; es kursierte sogar ein Proof-of-Concept. Durch Beispiel-Skripte lassen sich Systeme auf Verwundbarkeit untersuchen. Diese Skripte geben jedoch Administratoren keinerlei Sicherheit – vielmehr können Angreifende dadurch nach verwundbaren Systemen scannen.

Log4j Sicherheitslücke: Was wurde bisher unternommen?

Die IT-Welt ist derzeit in Alarmbereitschaft – entsprechend arbeiten IT-Sicherheitsunternehmen und Java-Spezialist:innen daran, die Schwachstelle stopfen zu können. Ein Update auf die Version 2.15.0 schützte zwar vor dem Einschleusen von Code, brachte jedoch neue Sicherheitsprobleme mit sich: Eine neue Lücke, die mit dem Folge-Update geschlossen wurde. Deshalb ist ein Update auf Log4j 2.16.0 dringend angeraten! Konkrete Empfehlungen der Entwickelnden gibt heise online in diesem Beitrag weiter.

Mit Version 2.17 ging ein weiteres Update des Log4j-Teams an den Start, denn erneut tat sich eine weitere Sicherheitslücke auf (CVE-2021-45105), mit der Angreifenden Denial-of-Service-Attacken gelingen könnten. Das Log4j-Team empfiehlt zusätzlich zum Update weitere Maßnahmen, um das Ausnutzen dieser Lücke zu verhindern.

Wer ist von der Log4j Sicherheitslücke betroffen?

Betreibenden von Online-Diensten, Unternehmen sowie Behörden wird dringend angeraten, ihre Systeme zu überprüfen: Welche Systeme sind verwundbar? Gibt es Hinweise auf eine Kompromittierung? Ein Update mindestens auf Log4j 2.15.0 sollte stattfinden, idealerweise jedoch auf Log4j 2.17.0, um auch die anderen Sicherheitslücken zu schließen.

Privatanwendende sollen laut BSI nicht gefährdet sein: „Handys und iPads sind davon bisher nicht betroffen, das muss man ganz klar sagen“, erklärte BSI-Präsident Arne Schönbohm. Ganz so einfach ist es leider nicht, denn die wenigsten Privathaushalte verfügen ausschließlich über Handy und iPad. Nach wie vor existieren auch Rechner, Notebooks, der Router für den Internetanschluss, manches NAS-System oder auch IoT-Komponenten in Privathaushalten. In all dieser Technik kann sich ebenfalls Software verbergen, die auf die Log4j-Bibliothek setzt. Deshalb haben auch Privatanwendende ein bisschen was zu tun: Prüfen Sie Ihr Heimnetz auf laufende Dienste. Deaktivieren Sie den Internetzugang von allem, was Sie nicht benötigen, und führen Sie für alles Updates aus.

Jedoch könnten unter Umständen auch Dienste angreifbar sein, die nicht direkt mit dem Internet verbunden sind: Wie ZDnet berichtet, wurde ein weiterer Angriffsvektor für die ursprüngliche Log4j Sicherheitslücke entdeckt: Log4Shell lässt sich womöglich auch über Websockets angreifen.

Log4j Sicherheitslücke: Wie hoch ist die Bedrohungslage aktuell?

Wie schon bei der SolarWinds-Lücke, über die wir Anfang des Jahres berichteten, kann auch die Log4j Sicherheitslücke nachträglich noch gefährlich werden: Durch Hintertüren oder eingeschleuste Malware wie Ransomware. Schon seit dem 01. Dezember 2021 wurden Angriffe auf die Schwachstelle beobachtet – also neun Tage vor offiziellem Bekanntwerden. Sicherheitsforschende von Check Point erklären in einem Blogbeitrag in einer Grafik den sprunghaften Anstieg der Angriffszahlen. Bleeping Computer berichtet, dass Angreifende bereits Malware auf erfolgreich angegriffene Systeme installieren. Sicherheitsanbieter Tenable spricht von einem „Fukushima der IT“ und erklärt, dass bei Kunden, die 1.000 Systeme in der Sekunde überprüfen, pro Sekunde ein betroffenes System identifiziert wird.

Die Ausmaße der Log4j Sicherheitslücke sind also gigantisch und werden noch weit in die Zukunft reichen. Da Angreifende ganze Systeme übernehmen könnten, hat sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) entschieden, eine Cyber-Sicherheitswarnung der Warnstufe Rot herauszugeben.

Die FAZ zitiert einen von Bitdefenders Technikchefs, Martin Zugec: „Es ist, als ob in einer Stadt mit hoher Kriminalitätsrate plötzlich alle Haustüren offenstehen. Das lädt Diebe geradezu ein.“ Und weiter: „Wir gehen davon aus, dass es in der Weihnachtszeit zu einer wahren Angriffswelle kommen könnte.“ Mit einer stillen, ruhigen Weihnachtszeit ist für Administratoren dieses Jahr also eher nicht zu rechnen.

Log4j Sicherheitslücke: Bleiben Sie wachsam!

Wie Sie sehen, sind Sicherheitsspezialisten hochaktiv und bemüht, Lösungen zu finden. Es stehen Patches bereit, die Sie unbedingt einspielen sollten. Das Log4j-Team, das BSI und weitere Organisationen halten die Informationen immer aktuell; nutzen Sie dies und informieren Sie sich laufend über die Log4j Sicherheitslücke. Folgen Sie den Hilfen und Anleitungen des BSI und passen Sie Ihre Systeme entsprechend an, falls noch nicht geschehen. Bleiben Sie bitte auch als Privatperson wachsam – entspannen können Sie sich aktuell tatsächlich nur dann, wenn Sie die Sicherheitspatches eingespielt haben oder tatsächlich nur über Handy und iPad verfügen, die zumindest nicht über die Log4j Sicherheitslücke angreifbar sind.