Viele Web-Anwendungen sind von Log4shell betroffen. (Foto: Rawpixel.com/Shutterstock)
Das Bundesamt für Informationstechnik hatte die Sicherheitslücke Log4shell in der Protokollierungsbibliothek Log4j im Dezember als extrem kritische Bedrohungslage bewertet und damit die höchstmögliche Warnstufe gewählt. Die Schwachstelle ist ein Sicherheitsrisiko für zahlreiche beliebte Anwendungen. Die Sicherheitsfirma Sec-Research hat einen kostenlosen Scanner entwickelt, der prüft, ob eine Website von dem Problem betroffen ist.
Zunächst war die Schwachstelle bei Minecraft-Websites bekannt geworden. Schnell wurde deutlich, dass viele weitere bekannte Dienste wie Steam oder die iCloud betroffen sein dürften – insgesamt sind es laut Cybersicherheitsexperten wohl Millionen von Web-Applikationen. Denn die betroffene Bibliothek ist sehr weit verbreitet.
Versteckte Schwachstelle finden
Zwar ist die Sicherheitslücke recht einfach durch ein Update zu schließen. Aber viele betroffene Projekte dürften nicht wissen, dass sie betroffen sind, etwa, weil sie die Bibliothek nur indirekt verwenden.
Diesem Problem soll der neue Scanner jetzt Abhilfe schaffen. Das Tool scannt eine Website, Webapps oder ganze Domains und Subdomains. Alle Unterseiten würden untersucht, heißt es auf der Homepage. So sollen alle möglichen Eintrittsvektoren gefunden werden. Dafür muss man lediglich die URL eingeben und bekommt das Ergebnis des Scans anschließend per Mail.
Der Scanner imitiere auch derzeit laufende Angriffe im Web, sagte Sebastian Bicchi, geschäftsführender Gesellschafter von Sec-Research gegenüber Futurezone. „Er ist natürlich nicht perfekt und es gibt keine Garantie, dass alle Schwachstellen gefunden werden. Aber wir haben uns sehr viele Gedanken gemacht, wie wir alle möglichen Angriffspunkte finden“, so Bicchi weiter.
