Log4j-Schwachstelle Log4Shell
Jackpot für Kriminelle
Dutzende Bausteine türmen sich zur komplexen Maschinerie. Diese ruht links auf einem soliden Fundament, rechts aber stützt nur ein einzelnes dürres Bauklötzchen das ganze Gebilde. Die Maschine ist laut Überschrift „jede moderne IT-Infrastruktur“, der wackelige Stützklotz hingegen „ein Projekt, das irgendjemand aus Nebraska seit 2003 unbedankt pflegt“. An diesen Cartoon-Klassiker des Kultautors Randall Munroe fühlten sich viele kürzlich erinnert. Denn in Log4j, einem in Cloud-Services, Unternehmensapplikationen und IT-Gerätschaft gern genutzten Open-Source-Baustein, fand sich eine Sicherheitslücke – noch dazu eine kritische, die Angreifer leicht ausnutzen können.
Die „Log4Shell“ getaufte Lücke ist laut Amit Yoran, CEO des Security-Anbieters Tenable, „die größte und kritischste Schwachstelle des letzten Jahrzehnts“. Deshalb sorgt die offiziell als CVE-2021-44228 bezeichnete Schwachstelle in der Log4j-Bibliothek der Apache Foundation seit Ende November für Aufregung in IT-Kreisen. Dank ihr, so warnen Fachleute, können nicht-authentifizierte Akteure Java-Anwendungen angreifen, die für das Logging die Log4j-Bibliothek verwenden, und dann beliebigen Code inklusive Schadcode ausführen (Remote Code Execution, RCE). Besonders bedenklich: Die Sicherheitslücke in der JNDI-Komponente (Java Naming and Directory Interface) des LDAP-Connectors von Log4j ist laut Evgeny Lopatin, einem Sicherheitsexperten bei Kaspersky, „besonders einfach“ auszunutzen. Nicht umsonst erhielt sie eine CVSS-Kritikalitätseinstufung (Common Vulnerability Scoring System) mit dem Maximalwert 10,0. Laut Ciscos Security-Truppe Talos lag die Lücke bei ihrem Auftreten zudem auf der Kenna-Risikoskala bei 93 von 100 – also außergewöhnlich hoch. Der Kenna Risk Score fasst die potenziellen Auswirkungen einer Lücke und damit deren Eignung für einen Angriff in einen Zahlenwert. Laut Talos haben von den 165.000 Sicherheitslücken, die Kenna Security je erfasst hat, nur 0,39 Prozent einen Wert von 93 oder höher. Und hierzulande warnte das BSI, die Log4j-Schwachstelle führe zu einer „extrem kritischen Bedrohungslage“.
Was ist passiert? Den zeitlichen Ablauf hat Talos in einem Blog-Post zu Log4Shell übersichtlich aufbereitet: Das Security-Team von Alibaba Cloud entdeckt die RCE-Schwachstelle in der – mit über 400.000 Downloads weit verbreiteten – Java-Logging-Bibliothek am 24.11.21 und meldet sie an Apache. Doch bereits am 30.11., also noch bevor Apache sie patchen kann, kommt sie ans Licht der an solchen Dingen interessierten Öffentlichkeit – und schon am 1.12. gibt es erste Berichte, dass Angreifer die Lücke ausnutzen, was Talos am Folgetag dann auch selbst beobachtet. Check Point meldet, 72 Stunden nach der ersten Attacke habe man bereits rund 846.000 Angriffe registriert.
Eine Woche später, am 9.12., stellt die Apache Foundation einen Patch bereit – doch da laufen bereits zahlreiche Angriffe mittels Zero-Day-Exploits. Nach Erkenntnissen diverser Security-Anbieter dienen diese zunächst dem Ausbringen von Cryptomining-Malware, doch kurz darauf folgen Berichte über offenbar staatlich organisierte Aktivitäten. In den nächsten Tagen schwillt die Angriffswelle an: Das Mirai-Botnet schaltet sich ein, und Angreifer nutzen, wie in solchen Fällen oft üblich, E-Mails als Angriffsvektor. Security-Häuser, beispielsweise SophosLabs und Bitdefender Labs, berichten neben dem Einbetten von Kryptominern nun auch von Ransomware-Attacken. Denn zur Kompromittierung reiche mitunter bereits, in ein Online-Eingabefeld eine einzige Codezeile einzufügen
Hastiges Patchen
Nun lautet das Motto: ordentlich ranklotzen! Allerorten patchen IT-Organisationen und -Dienstleister Java-Applikationen, so schnell es geht. Betroffen sind neben Cloud-Größen wie Amazon, Microsoft (mit der Gaming-Plattform Minecraft) oder Twitter auch zahllose Unternehmen. Check Point meldet am 20.12. über 4,3 Millionen Versuche, die Schwachstelle auszunutzen. Fast jedes zweite von Check Point überwachte Unternehmen weltweit sei von der Schwachstelle betroffen, in Europa sogar noch etwas mehr als die Hälfte (51,2 Prozent). Laut einem Eset-Report vom 21.12. lag Deutschland hinsichtlich der Angriffsversuche weltweit auf Rang 5, nach den USA (mit großem Abstand auf Platz 1), UK, den Niederlanden und Tschechien. Eine Verschleierung der Zugriffe mit dem Anonymisierungsdienst Tor lässt Deutschland dabei als Nummer-Eins-Herkunftsland der Angriffe erscheinen, wie Bitdefender berichtet.
Angreifer und Verteidiger liefern sich das branchenübliche Hase-und-Igel-Rennen: Apache bessert seine Patches mehrmals nach, unter anderem, um Denial-of-Service-Angriffe zu verhindern. Bis Weihnachten hat sich die Lage noch nicht entspannt, zumal Fachleute davon ausgehen, dass die gewiefteren Angreifer in der ersten Phase Backdoors installieren, um später nochmals in aller Ruhe Angriffe ausführen zu können. „Aufgrund der Art dieser Schwachstelle geht Talos davon aus, dass diese Schwachstelle in Zukunft häufig von Angreifern ausgenutzt werden wird“, heißt es auf dem Blog der Cisco-Tochter. Der wenig überraschende Rat: „Benutzer sollten betroffene Produkte so schnell wie möglich patchen und Lösungen zur Schadensbegrenzung implementieren.“
- Jackpot für Kriminelle
- Sisyphusarbeit
- Sicherheit der digitalen Supply Chain verbessern
Lesen Sie mehr zum Thema
