„Apokalypse“, „die größte Sicherheitslücke des Jahrhunderts“, „the Internet is burning“ – das alles sind nur ein Bruchteil der Begriffe, die aktuell in den Nachrichten zu lesen sind. Aber worum geht es?
Am vergangenen Freitag ist eine schwerwiegende Sicherheitslücke in Log4j bekannt gegeben geworden, die bereits seit Jahren im Code ist und bis vor kurzem unentdeckt blieb. Die Liste der Unternehmen und Konzerne, die Log4j einsetzen ist sehr lang und umfasst Technologieriesen wie Apple, Google und Amazon. Aufgefallen ist diese Lücke am Donnerstag auf den Servern für das Online-Spiel Minecraft. Unternehmen und Organisationen werden aktuell dazu aufgerufen Maßnahmen schnellstmöglich umzusetzen um weitere Auswirkungen zu minimieren. Auch das BSI stuft die Bedrohungslage aktuell auf extrem kritisch ein und hat daher die Warnstufe Rot ausgesprochen, unter anderem durch die sehr weite Verbreitung des betroffenen Produkts.
Hintergrund
Bei Logging for Java – kurz „Log4j“ handelt es sich um eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie ist ein Open-Source-Projekt, das von Freiwilligen unterstützt und gepflegt wird. Durch diese Art von offenem Code konnte die Softwareentwicklung sich stark weiterentwickeln, da Fortschritte geteilt und Schwachstellen leichter gefunden und im Idealfall behoben werden konnten. Das Produkt Log4j wird genutzt, um zu protokollieren, was innerhalb einer Java-Anwendung passiert, z.B für eine spätere Auswertung von Fehlern. Seit seiner Veröffentlichung vor etwa 21 Jahren ist Log4j quasi zum Standard geworden und daher auch bei sehr vielen Unternehmen im Einsatz. Log4Shell – wie die Schwachstelle auch benannt wurde – ist wieder einmal eine „kleine“ Erinnerung, dass das Internet ursprünglich eben kein kommerzielles Projekt war, sondern ein Netz von Menschen für Menschen.
Durch diese Sicherheitslücke haben Angreifer die Möglichkeit auf fremde Systeme zu gelangen. Damit könnten sie zum Beispiel Schadsoftware dort laufen lassen. Je nach Zugriffsrechten können durch so einen Zugang Informationen abgegriffen oder der Rechner lahmgelegt werden. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge gespeichert wird, daher ist die Schwachstelle auch relativ „leicht“ auszunutzen. Mittlerweile gibt es für die betroffenen Log Dateien ein Update, welches dringend empfohlen wird.
Das genaue Ausmaß ist zum aktuellen Standpunkt noch nicht einschätzbar, da durch diese Schwachstelle durchaus Hintertüren in Systemen installiert werden können. Das BSI trifft hierzu folgende Aussage: „Es sind nicht die gezielten Angriffe, sondern es geht darum, flächendeckend dort hineinzukommen und das auszunutzen, so dass man dann drin ist und andere Hintertüren installieren kann, bevor diese Lücke geschlossen ist.“
Bereits bestätigte Angriffe
Bisher sind dem Bundesamt für Sicherheit in der Informationstechnik (BSI) weltweite Massenscans und versuchte Kompromittierungen bekannt. Auch gibt es bereits Informationen über erfolgreiche Kompromittierungen. Kurz gesagt bedeutet dies folgendes. Angreifer durchsuchen das Internet nach Servern und Anwendungen, die Log4j nutzen und gleichzeitig verwundbar sind. Dies geschieht großflächig und automatisiert. Bereits erfolgreiche Angriffe bestanden u.a darin, die Rechenleistung des Servers durch ein installiertes Programm zu nutzen, um Kryptowährungen zu schürfen.