Log4Shell, eine Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j
Log4j ist derweil zu einem De-Facto-Standard-Rahmenwerk für die Protokollierung (Loggen) von Anwendungsanmeldungen bzw. Server-Events in Java geworden. Es fungiert sozusagen als eine Art Türsteher, der feststellt, wann eine bestimmte Seite aufgerufen wird oder eine Anmeldung erfolgt. Kurz gesagt, ist Log4j lediglich die Bibliothek mit der Log4Shell ausgeführt werden kann. Viele namhafte Anbieter und Dienste wie z.B. Amazon und Apples iCloud nutzen die Java-Logging-Bibliothek Log4j.
Jedoch sorgte die Sicherheitslücke im Dezember 2021 für Aufregung und wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als außerordentlich kritisch eingestuft.
Log4j kann nicht nur Protokolle anlegen, sondern auch Befehle ausführen, die bspw. aus Login-Formularen stammen, um erweiterte Logging-Informationen zu erzeugen. Aufgrund dessen, dass Nutzereingaben ungeprüft durchgereicht werden, haben potentielle Angreifer hier eine Schwachstelle entdeckt, die es ermöglicht, Log4j von außen mit Befehlen zu füttern (Log4Shell). Diese Schwachstelle ermöglicht es also, Angreifern „seltsam aussehende Zeichenketten“ bspw. in das User-Feld einer Anmeldemaske/Login-Formular einzugeben und abzusenden. Das Problem dabei ist, dass der im Anmeldeversuch eingekapselte Befehl erst im Zielsystem ausgeführt wird, welcher nun z.B. den Schadcode im angegriffenen Server nachlädt. Das kann in etwa ein Krypto-Trojaner, ein Keylogger oder eine andere Art von Malware sein.
2022: Ein unüberschaubares Ausmaß an Angriffsfläche steht der IT-Sicherheit gegenüber
Erstmals gemeldet wurde das Leck am 24. November 2021 vom Sicherheitsforscher Chen Zhaojun des chinesischen IT-Riesen Alibaba. Datenforensische Auswertungen ergaben, dass Cyberkrimelle die Lücke schon früher entdeckt haben und nutzen diese zumindest seit dem 1. Dezember 2021. Ob und was sich damit anstellen lässt, hängt von den Spezifikationen des betroffenen Systems ab. Doch das denkbare Ausmaß ist sehr hoch, da Log4Shell allgegenwärtig ist. Das Ausführen eines beliebigen Codes im angegriffenen System kann dazu führen, dass sensible Konfigurationsdaten erbeutet werden, die vergleichbar mit einem Haustür- und Tresorschlüssel sind.
Die Kombination aus großer Verbreitung und einfacher Ausnutzbarkeit macht es für potenzielle Cyberkrimelle sehr attraktiv diesen Schlüssel zu nutzen, um sich die Kontrolle über ein System mit all seinen Daten zu verschaffen. Das BSI berichtet, dass Angreifer bislang vor allem Krypto Miner einschleusen konnten. Damit werden kompromittierte Server inklusive Rechenleistung „gekapert“, um zur finanziellen Bereicherung zu schürfen. Möglich ist auch, dass die betroffenen Systeme in Bot-Netze integriert werden, mit denen bspw. DDoS-Angriffe durchgeführt werden.
Detektions- und Mitigationsmaßnahmen ergreifen
Angesichts der sich verändernden Informationslage hat das BSI ein Übersichtsdokument erstellt, in dem u.a. alle bekannten Detektionsmaßnahmen nochmals zusammengefasst wurden. Der Zweck dieses Übersichtsdokuments besteht darin, die Cybersicherheitswarnung des BSI um detailliertere Informationen zur der „Log4Shell“ genannten Schwachstelle selbst sowie entsprechende Mitigationsmaßnahmen und Detektionsmöglichkeiten konsolidiert und differenziert bereitzustellen. Das Dokument wird auf Basis neuer Erkenntnisse laufend aktualisiert. Die jeweils aktuelle Version finden Sie auf der Webseite des BSI.
Sie haben Fragen oder Beratungsbedarf zum Thema Log4Shell? Gerne stehen Ihnen unsrer Expert:innen bei allen Herausforderungen zur Seite. Jetzt Kontakt aufnehmen!