Was ist log4j?
Log4j ist eine quelloffene Bibliothek für die Programmiersprache Java, um Programmabläufe einer Software zu protokollieren. Dabei handelt es sich um ein sog. Framework, also nutzbare Komponente, die durch Dritte entwickelt und gepflegt wird. Log4j ermöglicht Entwicklern Fehler effizient zu identifizieren und zu verstehen, wie ein Fehler entstanden ist. Aus diesem Grund wird Log4j in sehr vielen Anwendungen genutzt. Log4j wird durch die Apache Software Foundation zur Verfügung gestellt und durch eine Hand voll Softwareentwickler betreut.
Was ist passiert?
Am 10.12.2021 wurde eine Schwachstelle bekannt, die Angriffe auf Systeme ermöglicht, die diese Bibliothek nutzen. Unter der Kennzeichnung CVE-2021-44228 wird darüber informiert, wie ein Angreifer die Schwachstelle in Log4j ausnutzen kann. Dabei wird schnell klar, dass dies sehr einfach möglich wird. Hierbei kann sich der Angreifer zunutze machen, dass Log4j Benutzereingaben zwar protokolliert, aber bei der Protokollierung nicht explizit prüft, ob die Eingabe einen schadhaften Hintergrund hat. Dies liegt grundsätzlich in der Natur eines Protokollierers. Wenn eine Benutzereingabe eine sogenannte JNDI-Lookup enthält (Programmierschnittstelle für Namensdienste), der auf eine externe URL verweist, kann Schadcode von dieser externen URL, also von außerhalb, geladen werden. Auf den Server wird dann über die externe URL eine Anwendung heruntergeladen und anschließend ausgeführt. Das führt wiederum zu vielen verschiedenen Bedrohungsszenarien wie Ransomware, Kryptominern, DDOS und anderen Angriffen.
Warum ist das ein Problem?
Die Schwachstelle stellt ein großes Gefahrenpotential dar und wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht zu Unrecht mit der höchsten Gefahrenstufe 4 (Warnstufe Rot) bewertet.
BSI-Präsident Arne Schönbohm informierte während einer Pressekonferenz diesen Montag wie einfach die Schwachstelle aufgrund ihrer Verbreitung ausgenutzt werden kann. "Es geht darum, dass wir auf der einen Seite gesehen haben, das Produkt wird überall eingesetzt in allen möglichen anderen Produkten. Es ist praktisch ein kleiner Bestandteil […]. Das ist das eine Thema, also große Verbreitung. Das zweite Thema ist, dass es eine Schwachstelle ist, die sehr, sehr einfach auszunutzen ist.", so Schönbohm. (Quelle: www.tagesschau.de/inland/bsi-schadsoftware-103.html)
Log4j wird demnach in sehr vielen Anwendungen des täglichen Lebens genutzt, ohne, dass es für die Nutzerbasis ersichtlich wird. Unternehmen und Privatpersonen sind daher in gleichem Maße von der Schwachstelle betroffen. Große bekannte Firmen wie Netflix, VMware, Apple, Google und Tesla sind nur einige der betroffenen Unternehmen. Weitaus problematischer ist, dass Anwendungen Log4j nicht direkt verwenden müssen, um verwundbar zu sein. Die meisten Anwendungen nutzen verschiedenste Bibliotheken, um ihre eigene Funktionalität bereitzustellen. Wenn nur eine dieser Bibliotheken Log4j in einer gefährdeten Version verwendet, ist die gesamte Anwendung potenziell gefährdet. Diese Tatsache macht diese Schwachstelle so schwerwiegend.
Was ist zu tun?
Was müssen Sie als Unternehmer und Privatperson tun, um die Schwachstelle zu beheben?
Privatpersonen können nicht viel tun, um sich gegen die Ausnutzung der Schwachstelle zu wehren. Dennoch ist es wichtig die installierte Software so aktuell wie möglich zu halten. Alle Geräte, die sich im Einsatz befinden, sollten stets auf dem neusten Stand gehalten werden. Gerade in der jetzigen Situation sollten die Updateangebote sehr genau beobachtet und bei Verfügbarkeit umgehend installiert werden. Bei Unsicherheiten sollten Geräte und Dienste vorsorglich vom Netz genommen werden, bis abschließend geklärt werden kann, ob diese betroffen sind.
Handeln müssen jetzt vor allem alle Unternehmen, die die betroffene Bibliothek in ihren Anwendungen verwenden. Softwareentwickler müssen nun überprüfen, ob ihre Anwendungen Log4j nutzen und in welcher Version. Die Versionen Log4j 2.14.1 und kleiner sind von der Schwachstelle betroffen. Ein hastig am vergangenen Freitag (10.12.2021) veröffentlichtes Update auf 2.15.0 ermöglichte wider Erwarten jedoch keine vollständige Behebung der Schwachstelle, und ermöglichte einen Angriff über einen Umweg (CVE-2021-45046). Daher wird dringend ein Update auf Version 2.16.0 empfohlen, wodurch die Schwachstelle voraussichtlich endgültig behoben wird. Es ist anzuraten auch nach der Installation der neusten Version die Lage weiter zu beobachten. Wer Log4j in Version 1.x nutzt, sollte ebenfalls schnellstmöglich ein Update auf Log4j 2.16.0 durchführen.
Prof. Dr. Michael Meier, Inhaber des Lehrstuhls für IT-Sicherheit am Institut für Informatik der Universität Bonn und Leiter der Abteilung Cyber Security bei Fraunhofer FKIE, betonte die Wichtigkeit der schnellen Aktualisierung und Überarbeitung von Software, die die Bibliothek Log4j verwendet. „Ein Angreifer kann sich selbst quasi Zugang zu dem System verschaffen und dort Programme zur Ausführung bringen. Das kann leider so gut wie alles zur Folge haben, was man sich mit einem Computersystem vorstellen kann. Der kann alles löschen, alles kopieren, der kann den Rechner ausschalten und wieder einschalten - also wirklich alles, was man mit Programmen tun kann.“, so Meier und verweist auf das „einfache Spiel“ für Hacker.
Log4j als mögliche Bedrohung von morgen?
Patchen und absichern könnte unter Umständen nicht ausreichend sein. Schwerwiegend ist nämlich auch die Tatsache, dass Systeme mit Hilfe der Log4j-Lücke für die spätere Durchführung von Angriffen kompromittiert und präpariert werden können. Daher ist es jetzt sehr wichtig auf der einen Seite betroffene Systeme zeitnah zu identifizieren und diese entweder upzudaten oder vom Netz zu nehmen. Darüber hinaus ist auch eine Prüfung auf die Platzierung von Hintertüren für spätere Angriffe bei allen Systemen angeraten, die von den Schwachstellen betroffen waren. Es gilt hier sicherzustellen, dass keine „offenen Türen“ darauf warten beispielsweise pünktlich zu Weihnachten für Ransomware oder ähnliches ausgenutzt zu werden.
Das BSI gibt auf ihrer Website weitere Empfehlungen und Tipps zum Umgang mit der Schwachstelle, die dringend umgesetzt werden müssen.
Ein Log4j-Selbsthilfe-Paper wird regelmäßig von der HiSolutions AG aktualisiert und auf Deutsch und Englisch zur Verfügung gestellt.
Es sind regelmäßig neue Log4j Versionen verfügbar. Um sich vor Cyberangriffen zu schützen, sollten Updates zeitnah installiert werden.
https://logging.apache.org/log4j/2.x/security.html
