Die Log4Shell Schwachstelle im Java-Tool Log4J ist eine der gravierendsten Sicherheitslücken in der Geschichte des Internets. Ohne einen Patch sind Tausende von Organisationen, die sich auf die betroffene Log4j-Bibliothek verlassen, einem ernsthaften Angriffsrisiko ausgesetzt.
Es war ein unerwünschtes verfrühtes Weihnachtsgeschenk, das am 9. Dezember 2021 mit der ganzen Welt geteilt wurde. Log4Shell hat die Branche erschüttert. An diesem Tag wurde der kritischste Zero-Day-Exploit der letzten Jahre entdeckt. Dieser kritische Zero-Day-Exploit wurde in der äußerst beliebten Java-Logging-Bibliothek log4j entdeckt.
Amazon, Apple, Twitter, Minecraft, Cloudflare, Steam: Dies ist nur eine sehr unvollständige Liste von Organisationen, die von dieser Schwachstelle betroffen sind. Die Auswirkungen sind weitreichend, da Log4j eine äußerst verbreitete Protokollierungsbibliothek ist, die in den meisten Java-Anwendungen verwendet wird, einschließlich in Geschäftssystemen, um Protokollinformationen aufzuzeichnen. Weniger als 24 Stunden nach der Veröffentlichung dieser Schwachstelle wurde bereits ein Krypto-Miner eingesetzt, der diese Schwachstelle ausnutzte.
Log4Shell wurde bereits einige Tage lang ausgenutzt, bevor es öffentlich bekannt wurde. Log4shell-Scan-Versuche wurden bis zu zwei Wochen im Voraus entdeckt. Angreifer konnten Krypto-Miner installieren, Botnets erstellen und sensible Daten und Systemanmeldeinformationen stehlen. Bis heute sind schätzungsweise über eine Million Maschinen davon betroffen.
Auf die ersten, noch manuellen Angriffe und Scans folgen jetzt automatisierte Versuche, die Sicherheitslücke auszunutzen. Nachdem einige Experten vorsichtig spekuliert hatten, dass die Lücke ein Wurm-Potenzial hätte, holt sie die Realität nun ein: Sicherheitsexperten haben Varianten der Mirai-Botnet-Drohnen aufgespürt, die Wurm-artig verwundbare Server befallen und sich automatisch weiter verbreiten.
Inzwischen ist auch die stark aktive Erpressergruppe Conti auf den Log4j-Zug aufgesprungen und nutzt die Schwachstelle, um in Server sowie Netzwerke einzudringen und ihre Ransomware einzurichten. Die so erhaltenen Zugänge verkauft die Cybergang weiter. Ihr Geschäftsmodell nennt sich Ransomware-as-a-Service.
Die bisherigen Angriffsversuche waren wohl vor allem Tests. Doch jetzt wird es Ernst. Cybercrime und Geheimdienste nutzen die Lücke gezielt für ihre Zwecke.
Ein Großteil der Angriffe auf die Lücke seien immer noch allgemeine Scans auf Verwundbarkeit. Deren schiere Anzahl nimmt bereits etwas ab. Doch das bedeutet keine Entwarnung. Der Content-Delivery-Netzwerk-Spezialist Akamai vermeldet, dass deren Systeme stündlich 250.000 Angriffsversuche auf die CVE-2021-44228-Lücke feststellen. Das Unternehmen geht davon aus, dass uns solche Attacken noch monatelang begleiten werden.
Die einfachste und am meisten empfohlene Methode zur Behebung dieser Schwachstelle ist der Update zur Log4J Version 2.15.0 oder einer nachfolgenden Version.
Wenn die Aktualisierung aus irgend einen Grund nicht oder kurzfristig nicht möglich ist, dann kann man in den früheren Versionen 2.10.0 bis 2.15.0 durch folgende Systemeinstellung die Gefahr abschwächen:
log4j2.formatMsgNoLookups=true
Zusätzlich kann eine Umgebungsvariable festgelegt werden:
LOG4J_FORMAT_MSG_NO_LOOKUPS=true
Für Releases von 2.0-beta9 bis 2.10.0 wäre das Entfernen der JndiLookup-Klasse aus dem Klassenpfad die Lösung. Der Befehl zur Ausführung einer solchen Aktion lautet:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Weitere Details finden Sie im GitHub-Commit, der diese Schwachstelle behebt.
