Anzeige
Anzeige
Analyse

Log4shell: Warum die Log4j-Sicherheitslücke ein Problem für Jahre ist

Nach der ersten Aufregung um die schwere Sicherheitslücke in der Java-Bibliothek Log4j zeichnet sich immer stärker ab, dass die dadurch verursachten Probleme die vernetzte Welt noch Jahre beschäftigen werden.

5 Min.
Artikel merken
Anzeige
Anzeige
Data Center on Fire: Log4Shell ist ein Problem riesigen Ausmaßes. (Bild: Joe Techapanupreeda / Shutterstock)

Es klang zunächst nicht sonderlich aufregend: In der Open-Source-Apache-Protokollierungsbibliothek Log4j war eine Sicherheitslücke gefunden worden. Nach ersten Untersuchungen machte sich aber schnell helle Aufregung unter Systemadministratoren und Sicherheitsexperten breit. Am Samstag hatte das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI die Schwachstelle in die höchstmögliche Warnstufe einsortiert.

Anzeige
Anzeige

Das Problem: Die als Log4shell bekannte Schwachstelle macht einige der weltweit beliebtesten Anwendungen und Dienste angreifbar. Die Angriffe sind dabei sehr einfach durchführbar und Log4j wird auf Millionen von Servern verwendet, teils als reine Abhängigkeit. Manch ein Betreiber wird daher nicht einmal wissen, dass seine Systeme ebenfalls Log4j verwenden. So werden viele erst davon erfahren, wenn sie bereits Opfer geworden sind.

Angriffe haben massiv zugenommen – mit Erfolg

Erst am Dienstag hatten Sicherheitsforscher vorgestellt, wie einfach es ist, Server von Apple und Tesla anzugreifen. Sie änderten lediglich die Namen eines iPhones und eines Tesla und verwendeten anstelle eines sprechenden Namens einen Exploit-String. Das funktionierte, lässt aber zunächst keine weiteren Schlüsse darauf zu, wie verwundbar ein System tatsächlich ist.

Anzeige
Anzeige

Forschende von Cisco und Cloudflare konnten zwischenzeitlich ermitteln, dass Hacker den Fehler seit Anfang des Monats ausnutzen. Allerdings hätte die Zahl der Angriffe seit der Veröffentlichung der Schwachstelle am Donnerstag drastisch zugenommen. Wie Microsoft in einem aktuellen Bericht schreibt, sollen Angreifer die Schwachstelle bereits ausgenutzt haben, um Krypto-Miner auf anfälligen Systemen zu installieren, Systemanmeldeinformationen zu stehlen, tiefer in kompromittierte Netzwerke einzudringen und Daten zu entwenden. Die Digital-Forensik-Plattform Cado berichtet, dass sie Server entdeckt habe, die versuchen, die Log4j-Schwachstelle zur Installation von Mirai-Botnet-Code zu nutzen.

Anzeige
Anzeige

Dabei haben potenzielle Angreifer ein breites Angriffsziel, denn Logging-Frameworks wie Log4j sind praktisch omnipräsent. Sie werden überall eingesetzt, wo es erforderlich ist, zu verfolgen, was in einer bestimmten Anwendung passiert – mit anderen Worten: überall.

So einfach kann Log4shell ausgenutzt werden

Um die Log4shell getaufte Lücke auszunutzen, muss ein Angreifer das System nur dazu bringen, eine strategisch erstellte Codezeichenkette anzunehmen. Darin lassen sich zum Beispiel URLs kodieren, die auf bösartige Server leiten, von denen etwa Malware nachinstalliert werden könnte. Dabei ist das Einschleusen sehr einfach. Ein umbenanntes iPhone reicht ebenso wie das Versenden von SMS an die Server eines Mobilfunk-Providers, wie es The Verge jüngst probierte. Ebenso soll es funktionieren, den Exploit-Code in einer E-Mail zu verschicken oder ihn als Benutzernamen für ein Konto festzulegen.

Anzeige
Anzeige

Schon wenige Tage nach Bekanntwerden der Lücken haben praktisch alle großen Technologieunternehmen wie Amazon Web Services, Microsoft, Cisco, Google Cloud und IBM erklärt, mindestens teilweise von der Schwachstelle betroffen zu sein. Inzwischen gibt es mehrere Updates, die von den Großunternehmen auch unverzüglich implementiert wurden – da, wo das Problem bereits bekannt war.

Lücke dürfte vielen Serverbetreibern gar nicht bewusst sein

Sicherheitsexperten sehen in der Lücke vor allem perspektivisch eine Gefahr. So könnten böswillige Akteure Hintertüren in betroffene Systeme einbauen, um diese zu einem späteren Zeitpunkt zu übernehmen. Diese Übernahmen könnten erst Monate später erfolgen, wenn sie nicht mehr akut mit der Lücke in Verbindung gebracht würden.

Aktuell sei ein Wettlauf zwischen Hackern und Admins zu beobachten, erklärt Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. Beide Seiten würden mit automatisierten Massen-Scans nach anfälligen Servern suchen. Noch sei gar nicht klar, wie verbreitet das Problem tatsächlich ist. Der schwierigste Part besteht demnach darin, alle Geräte aufzuspüren, die betroffen sein könnten.

Anzeige
Anzeige

Viele – wenn nicht gar die meisten – Unternehmen pflegen indes keine klare Buchführung über alle Software-Produkte, die sie verwenden, und die wiederum darin verbauten Software-Komponenten. Entsprechend betonte das britische National-Cyber-Security-Centre am Montag, dass Unternehmen neben dem Patchen der üblichen Verdächtigen „auch unbekannte Instanzen von Log4j entdecken“ müssen. Besonders Organisationen mit kleineren IT-Abteilungen oder kleinere Software-Häuser, denen es möglicherweise an Ressourcen oder einem Bewusstsein für die Problematik mangelt, könnten sich der Log4shell-Bedrohung langsamer stellen.

Die Schwachstelle wird bereits von einer „wachsenden Zahl von Bedrohungsakteuren“ genutzt, warnt auch Jen Easterly, Direktorin der US-Sicherheitsbehörde CISA (Cybersecurity and Infrastructure Security Agency). In einer Telefonkonferenz mit Betreibern kritischer Infrastrukturen fügte sie am Montag hinzu, dass die Schwachstelle „eine der schwerwiegendsten ist, die ich in meiner gesamten Laufbahn gesehen habe, wenn nicht sogar die schwerwiegendste“. Das berichtet Cyberscoop.

Kurzfristige Angriffe zunächst verhindern, dann langfristig schauen

Auch wenn die langfristigen Risiken sicherlich ein hohes Bedrohungspotenzial aufweisen, sollten Serverbetreiber zunächst bei den kurzfristigen Auswirkungen bleiben. Angreifer suchen jetzt in diesem Moment aktiv nach offensichtlichen Schwachstellen. Die gilt es schnellstmöglich zu beseitigen. Mit den Feinheiten können wir uns später noch befassen.

Anzeige
Anzeige

„Wenn Sie einen Server mit Internetzugang haben, der für Log4shell anfällig ist und den Sie noch nicht gepatcht haben, haben Sie mit ziemlicher Sicherheit einen Vorfall zu bewältigen“, so der ehemalige NSA-Hacker Jake Williams gegenüber Wired. „Bedrohungsakteure haben diese Schwachstelle schnell ausgenutzt“. Deshalb empfiehlt Williams ausdrücklich das schnelle Patchen ohne einen vorherigen ausführlichen Test auf Verträglichkeit. Sicherheit vor Funktionalität, könnte man sagen.

Der Forscher Marcus Hutchins, der 2017 einen Killswitch für den berüchtigten Wannacry-Wurm fand, hält Befürchtungen, jemand könne einen Wurm programmieren, um die Log4shell-Lücke besonders effektiv auszunutzen, für mindestens unwahrscheinlich. „Es ist zwar immer eine Möglichkeit, aber Würmer für diese Art von Exploits sind selten, da der Entwicklungsaufwand im Allgemeinen den wahrgenommenen Nutzen übersteigt“, sagt Hutchins. „Es ist viel einfacher, Exploit-Versuche von einem übernommenen Server aus zu unternehmen, als einen sich selbst verbreitenden Code zu entwickeln. Außerdem ist es normalerweise ein Wettlauf, so viele Systeme wie möglich auszunutzen, bevor sie gepatcht oder von anderen ausgenutzt werden, sodass es nicht wirklich Sinn macht, sich die Zeit zu nehmen, einen Wurm zu entwickeln.“

Das sind die positiven Effekte von Log4shell

So wird uns Log4shell wohl noch Jahre erhalten bleiben. Wenn die Lücke einen positiven Effekt hat, dann den, dass der Ansatz der Implementation von Software-Stücklisten (Software Bills of Materials, SBOM) neuen Schwung erhält. Dabei handelt es sich um ein striktes Inventar, das zum einen die Bestandsaufnahme verwendeter Komponenten und zum anderen die Einhaltung von Sicherheitsmaßnahmen in der Software-Lieferkette erleichtern soll.

Anzeige
Anzeige

Ebenso dürfte die Log4j-Lücke die Diskussion darüber, ob systemwichtige Tools ausschließlich von interessierten Entwicklern nach Feierabend betreut werden sollten, zu einem Abschluss bringen, der im besten Fall zu Veränderungen führen wird.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare

Community-Richtlinien

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige