Support: +49 (0)209 38642-22        Supportfall melden

Zero-Day-Lücke Log4Shell

Die Schwachstelle Log4Shell in einer vielbenutzten Bibliothek für JAVA-Software schlägt aktuell hohe Wellen. 

Wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Warnstufe Rot ausruft, dann ist die Bedrohungslage ernst, sehr ernst. 

Gewarnt wird vor einer schon längere Zeit in diversen Versionen der Open Source Logging-Bibliothek Log4j bestehenden Sicherheitslücke. Log4j wird als Funktionssammlung in vielen Softwareprodukten für die Speicherung von diversen Ereignissen z. B. im Server-Betrieb verwendet. Die bekannt gewordene Schwachstelle in einzelnen Versionen dieser Bibliothek kann schon allein dadurch ausgenutzt werden, dass in dem zu speichernden Logeintrag eine bestimmte Zeichenfolge enthalten ist. Damit ist sie sehr einfach auszunutzen, was Experten in große Sorge versetzt.

Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn Dienste-Betreiber und Software-Anbieter es installieren. Der Endanwender ist im Regelfall nicht in der Lage, eingesetzte Produkte selbst zu modifizieren. Er muss auf die schnelle Bereitstellung von Aktualisierungen durch den Produkthersteller hoffen.

Es gibt derzeit keine offizielle Liste, welche Produkte von der Schwachstelle CVE-2021-44228 betroffen sind und welche nicht.

Was tun?

Zunächst einmal sollte man sich einen Überblick verschaffen, wo Probleme lauern könnten. Dabei ist es natürlich sinnvoll beim Hersteller beziehungsweise Anbieter der jeweiligen Software, Geräte und Dienste nach dem Stand der Dinge zu fragen. Im Idealfall gibt es bereits Updates oder ein klares: "Wir haben das geprüft und sind nicht betroffen". Eine sehr lange Liste mit Links zu aktuellen Hersteller-Informationen zu deren betroffenen oder nicht betroffenen Produkten haben wir unten verlinkt. Prüfen Sie die Einträge für die von Ihnen eingesetzten Produkte. Die Liste wächst aktuell noch täglich, was die Prüfung nicht einfacher macht.

Wer Zugang zum System hat, auf dem ein Dienst läuft, kann dort nach verwundbaren Instanzen der Log4J-Bibliothek suchen. Anfällige Versionen von Log4J sind die Versionen 2.x (2.0 - beta9 bis 2.14.1). Auch die 2.15.0 Version hat Probleme - die Beseitigung der Schwachstelle öffnete eine neue - bei bestimmten Logging-Optionen könnten Angreifer die Software durch eine Denial-of-Service-Lücke lahmlegen. Die stark veraltete Version 1.2.x ist nicht betroffen, sollte aber ebenfalls schnellstmöglich ersetzt werden. Erst in einer neueren Version, Log4j 2.16.x haben die Apache-Programmierer den Code entfernt, der Nachrichten in den Logs mit den fatalen URL-Einträgen zu potenziell bösartigen LDAP-Servern analysiert. Aktuell ist aber die Log4j 2.17.0 die sicherste. Hier wurde noch eine weitere Sicherheitslücke (CVE-2021-45105, CVSS 7.5, hohes Risiko), durch die Angreifer einen Denial-of-Service (DoS) provozieren hätten können, entfernt.

Besteht Zugriff auf Web-Server-Logs, kann dort nach "${jndi:ldap" in den Web-Server-Anfragen Ausschau gehalten werden. Sollte der Web Server auf solche Anfragen mit einem 20X Web Server Response Code geantwortet haben, ist es wahrscheinlich, dass eine Anwendung des Webservers die Bibliothek Log4J nutzt. Trennen Sie vorsichtshalber den betreffenden Webserver vom Internet und prüfen Sie, ob die installierte Software auf diesem Server von den jeweiligen Herstellern mit Updates versorgt wird. Blockieren Sie zusätzlich die erkannten IOCs (indicators of compromise) an der Firewall.

Solange man sich nicht sicher ist, dass die eigene Infrastruktur "safe" ist, sollte man zumindest die Angriffsfläche weit möglichst reduzieren. Ergreifen Sie Maßnahmen wie:

  • Zugangsbeschränkungen
  • Segmentierung von Netzwerken
  • Reduzierung der Rechte
  • Beschränkung von ausgehenden Verbindungen
  • Beschränkung der ausführbaren Programme

Wenn LDAP nicht als Teil der legitimen Nutzung benötigt wird, könnte der gesamte LDAP-Verkehr mit einer Firewall oder einem Web Application Filter blockiert werden, um zu verhindern, dass Remote-Code erreicht wird, falls die Schwachstelle ausgenutzt wird.

In den Medien wird bereits verstärkt über Angriffsversuche aber auch über Beobachtungen von erfolgreichen Angriffen, die die Log4Shell-Schwachstelle ausnutzen, berichtet. Es ist jetzt Zeit zu handeln.

Aktuell sammeln wir noch immer Daten und werten die zahlreichen Informationen aus. Sobald das Bild etwas klarer wird, werden wir diesen Newsbeitrag weiter aktualisieren.

 

Linksammlung zum Thema:

Github-Repository der CISA

Liste mit Log4j-Advisories diverser Software-Hersteller

BSI-Cyber-Sicherheitswarnung "Kritische Schwachstelle in log4j"

Video: Pressekonferenz des BSI vom 13.12.2021 bei tagesschau.de

Hilfreicher Ratgeber von heise.de zur Zero-Day-Lücke

golem.de: Fragen und Antworten zu Log4Shell

Managed Security Provider Security HQ: Ablauf eines Angriffsversuches