Das Jahr 2021 ist nicht nur dank Corona, Inflation sowie politischen und wirtschaftlichem Wandel sehr „bewegt“ — Nein auch in der der IT-Sicherheit ging es heiß her.
Nach den prominenten Zero-Day-Schwachstellen wie Hafnium, Kaseya oder Solarwinds müssen sich Unternehmen erneut dringend mit einer hochkarätigen Server-Schwachstelle namens Log4Shell auseinandersetzen.
Hierzu hat das BSI die höchste Warnstufe ausgerufen.
Worauf basiert die „Log4Shell“ Schwachstelle?
Die betroffene Software ist eine überaus gängige Bibliothek namens „Log4j“ welche auf der Programmiersprache Java basiert. Diese Bibliothek kann und wird von unzähligen anderen Produkten und Herstellern genutzt, um Ereignisse in der eigenen Soft- oder Hardware zu protokollieren. Im Prinzip also ein unabhängiges Logbuch, welches von Drittanbietern genutzt werden kann, um in der eigenen Hard- oder Software Ereignisse festzuschreiben. Erstmal aufgedeckt wurde diese Lücke im Online-Spiel „Minecraft“.
Wie funktioniert die Schwachstelle?
Einfach gesagt, nutzen die Angreifer eine Funktion von Log4j, um externen Inhalt aus dem Internet zu laden. Dieser Inhalt wird dann auf dem System auf dem das „Logbuch“ läuft, ausgeführt. Somit kann schädlicher Code z.B. direkt auf dem betroffenen System ausgeführt werden.
Unter anderen kann jede Eingabe, welche über das Internet getätigt werden kann, zu der Ausnutzung der Sicherheitslücke missbraucht werden. So kann z.B. ein einfaches Anmeldefenster einer Webapplikation bereits zweckentfremdet werden, um über die Log4j Schwachstelle einen Server zu kompromittieren. Das Ganze sogar ohne dabei auch nur die Zugangsdaten zu kennen.
Was macht die Log4Shell-Schwachstelle so gefährlich?
Anderes als bei den meisten Schwachstellen die dieses Jahr für Wirbel gesorgt haben, sind die betroffenen Produkte und Hersteller noch nicht abzusehen oder einzugrenzen.
Von einfachen Smarthome-Geräten über beliebige Applikationen bis hin zu Netzwerkgeräten wie Router, Switches und ganzen Servern kann jede Soft- oder Hardware, welche „online“ erreichbar ist und Log4J nutzt, kompromittiert werden.
Erschwerend kommen die Einfachheit und die zahlreichen Möglichkeiten der Angreifer nach der Kompromittierung hinzu.
Unsere Erfahrungen bisher
In den letzten Tagen haben wir gemeinsam mit unseren Kunden bereits zahlreiche Maßnahmen zur Absicherung der IT gegen diese Schwachstelle ergriffen. Leider mussten wir die Erfahrung machen, dass selbst Softwarehersteller, welche Log4j produktintern nutzen, bisher an Ihre Kunden keinerlei Warnung ausgegeben haben. Somit bleibt es nicht aus, aktiv Produkte und Applikationen sowie deren Hersteller zu hinterfragen und zu prüfen.
Ebenfalls helfen bereits bekannten Prüfverfahren festzustellen, ob eine Anwendung oder ein Gerät durch diese Schwachstelle betroffen ist – Diesen Check können wir für Sie übernehmen. Gefährdete Ressourcen können dann entweder „offline“ geschaltet oder in Abstimmung mit dem Hersteller gegen die Sicherheitslücke gepatched werden.
Bis Weihnachten und sicherlich auch noch danach wird es in der IT spannend bleiben…
Quellen und weiterführende Informationen zu diesem Thema:
