Es klang zunächst nicht sonderlich aufregend: In der Open-Source-Apache-Protokollierungsbibliothek Log4j war eine Sicherheitslücke gefunden worden. Nach ersten Untersuchungen machte sich aber schnell helle Aufregung unter Systemadministratoren und Sicherheitsexperten breit. Am Samstag hatte das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI die Schwachstelle in die höchstmögliche Warnstufe einsortiert.

Das Problem: Die als Log4shell bekannte Schwachstelle macht einige der weltweit beliebtesten Anwendungen und Dienste angreifbar. Die Angriffe sind dabei sehr einfach durchführbar und Log4j wird auf Millionen von Servern verwendet, teils als reine Abhängigkeit. Manch ein Betreiber wird daher nicht einmal wissen, dass seine Systeme ebenfalls Log4j verwenden. So werden viele erst davon erfahren, wenn sie bereits Opfer geworden sind.

Erst am Dienstag hatten Sicherheitsforscher vorgestellt, wie einfach es ist, Server von Apple und Tesla anzugreifen. Sie änderten lediglich die Namen eines iPhones und eines Tesla und verwendeten anstelle eines sprechenden Namens einen Exploit-String. Das funktionierte, lässt aber zunächst keine weiteren Schlüsse darauf zu, wie verwundbar ein System tatsächlich ist.

Forschende von Cisco und Cloudflare konnten zwischenzeitlich ermitteln, dass Hacker den Fehler seit Anfang des Monats ausnutzen. Allerdings hätte die Zahl der Angriffe seit der Veröffentlichung der Schwachstelle am Donnerstag drastisch zugenommen. Wie Microsoft in einem aktuellen Bericht schreibt, sollen Angreifer die Schwachstelle bereits ausgenutzt haben, um Krypto-Miner auf anfälligen Systemen zu installieren, Systemanmeldeinformationen zu stehlen, tiefer in kompromittierte Netzwerke einzudringen und Daten zu entwenden. Die Digital-Forensik-Plattform Cado berichtet, dass sie Server entdeckt habe, die versuchen, die Log4j-Schwachstelle zur Installation von Mirai-Botnet-Code zu nutzen.

Dabei haben potenzielle Angreifer ein breites Angriffsziel, denn Logging-Frameworks wie Log4j sind praktisch omnipräsent. Sie werden überall eingesetzt, wo es erforderlich ist, zu verfolgen, was in einer bestimmten Anwendung passiert – mit anderen Worten: überall.

Um die Log4shell getaufte Lücke auszunutzen, muss ein Angreifer das System nur dazu bringen, eine strategisch erstellte Codezeichenkette anzunehmen. Darin lassen sich zum Beispiel URLs kodieren, die auf bösartige Server leiten, von denen etwa Malware nachinstalliert werden könnte. Dabei ist das Einschleusen sehr einfach. Ein umbenanntes iPhone reicht ebenso wie das Versenden von SMS an die Server eines Mobilfunk-Providers, wie es The Verge jüngst probierte. Ebenso soll es funktionieren, den Exploit-Code in einer E-Mail zu verschicken oder ihn als Benutzernamen für ein Konto festzulegen.

Schon wenige Tage nach Bekanntwerden der Lücken haben praktisch alle großen Technologieunternehmen wie Amazon Web Services, Microsoft, Cisco, Google Cloud und IBM erklärt, mindestens teilweise von der Schwachstelle betroffen zu sein. Inzwischen gibt es mehrere Updates, die von den Großunternehmen auch unverzüglich implementiert wurden – da, wo das Problem bereits bekannt war.

Sicherheitsexperten sehen in der Lücke vor allem perspektivisch eine Gefahr. So könnten böswillige Akteure Hintertüren in betroffene Systeme einbauen, um diese zu einem späteren Zeitpunkt zu übernehmen. Diese Übernahmen könnten erst Monate später erfolgen, wenn sie nicht mehr akut mit der Lücke in Verbindung gebracht würden.

Aktuell sei ein Wettlauf zwischen Hackern und Admins zu beobachten, erklärt Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. Beide Seiten würden mit automatisierten Massen-Scans nach anfälligen Servern suchen. Noch sei gar nicht klar, wie verbreitet das Problem tatsächlich ist. Der schwierigste Part besteht demnach darin, alle Geräte aufzuspüren, die betroffen sein könnten.

Viele – wenn nicht gar die meisten – Unternehmen pflegen indes keine klare Buchführung über alle Software-Produkte, die sie verwenden, und die wiederum darin verbauten Software-Komponenten. Entsprechend betonte das britische National-Cyber-Security-Centre am Montag, dass Unternehmen neben dem Patchen der üblichen Verdächtigen „auch unbekannte Instanzen von Log4j entdecken“ müssen. Besonders Organisationen mit kleineren IT-Abteilungen oder kleinere Software-Häuser, denen es möglicherweise an Ressourcen oder einem Bewusstsein für die Problematik mangelt, könnten sich der Log4shell-Bedrohung langsamer stellen.

Die Schwachstelle wird bereits von einer „wachsenden Zahl von Bedrohungsakteuren“ genutzt, warnt auch Jen Easterly, Direktorin der US-Sicherheitsbehörde CISA (Cybersecurity and Infrastructure Security Agency). In einer Telefonkonferenz mit Betreibern kritischer Infrastrukturen fügte sie am Montag hinzu, dass die Schwachstelle „eine der schwerwiegendsten ist, die ich in meiner gesamten Laufbahn gesehen habe, wenn nicht sogar die schwerwiegendste“. Das berichtet Cyberscoop.

Auch wenn die langfristigen Risiken sicherlich ein hohes Bedrohungspotenzial aufweisen, sollten Serverbetreiber zunächst bei den kurzfristigen Auswirkungen bleiben. Angreifer suchen jetzt in diesem Moment aktiv nach offensichtlichen Schwachstellen. Die gilt es schnellstmöglich zu beseitigen. Mit den Feinheiten können wir uns später noch befassen.

„Wenn Sie einen Server mit Internetzugang haben, der für Log4shell anfällig ist und den Sie noch nicht gepatcht haben, haben Sie mit ziemlicher Sicherheit einen Vorfall zu bewältigen“, so der ehemalige NSA-Hacker Jake Williams gegenüber Wired. „Bedrohungsakteure haben diese Schwachstelle schnell ausgenutzt“. Deshalb empfiehlt Williams ausdrücklich das schnelle Patchen ohne einen vorherigen ausführlichen Test auf Verträglichkeit. Sicherheit vor Funktionalität, könnte man sagen.

Der Forscher Marcus Hutchins, der 2017 einen Killswitch für den berüchtigten Wannacry-Wurm fand, hält Befürchtungen, jemand könne einen Wurm programmieren, um die Log4shell-Lücke besonders effektiv auszunutzen, für mindestens unwahrscheinlich. „Es ist zwar immer eine Möglichkeit, aber Würmer für diese Art von Exploits sind selten, da der Entwicklungsaufwand im Allgemeinen den wahrgenommenen Nutzen übersteigt“, sagt Hutchins. „Es ist viel einfacher, Exploit-Versuche von einem übernommenen Server aus zu unternehmen, als einen sich selbst verbreitenden Code zu entwickeln. Außerdem ist es normalerweise ein Wettlauf, so viele Systeme wie möglich auszunutzen, bevor sie gepatcht oder von anderen ausgenutzt werden, sodass es nicht wirklich Sinn macht, sich die Zeit zu nehmen, einen Wurm zu entwickeln.“

So wird uns Log4shell wohl noch Jahre erhalten bleiben. Wenn die Lücke einen positiven Effekt hat, dann den, dass der Ansatz der Implementation von Software-Stücklisten (Software Bills of Materials, SBOM) neuen Schwung erhält. Dabei handelt es sich um ein striktes Inventar, das zum einen die Bestandsaufnahme verwendeter Komponenten und zum anderen die Einhaltung von Sicherheitsmaßnahmen in der Software-Lieferkette erleichtern soll.

Ebenso dürfte die Log4j-Lücke die Diskussion darüber, ob systemwichtige Tools ausschließlich von interessierten Entwicklern nach Feierabend betreut werden sollten, zu einem Abschluss bringen, der im besten Fall zu Veränderungen führen wird.