Informationen zu log4shell

Was ist log4shell (CVE-2021-44228) (CVE-2021-45046) ?

Log4shell ist die Bezeichnung für die Sicherheitslücke (CVE-2021-44228) und (CVE-2021-45046),
in der Java-Bibliothek log4j / log4j-core.

Was ist log4j?

Log4j ist ein Bestandteil der Java-Bibliothek und wird dazu genutzt, Ereignisse von Prozessen, wie
beispielsweise Anmeldungen auf Servern, zu protokollieren.
Entwickelt von der Apache Foundation, ist es weit verbreitet und kommt vor allem, aber nicht
ausschließlich, auf Webservern und Clouddiensten zum Einsatz.

Was ist Java?

Java ist eine seit langem eingesetzte Programmiersprache und Laufzeitumgebung und aufgrund ihrer Flexibilität und vergleichsweise einfachen Erlernbarkeit ein Bestandteil von zahlreichen Programmen.
Viele Entwickler nutzen Java, oder deren Bibliotheken, für eigene Projekte.
Java ist nicht zu verwechseln mit JavaScript; JavaScript ist nicht betroffen.

Was ist eine Schwachstelle?

Eine Schwachstelle ist eine Programmfunktion, die Zugunsten eines Angreifers ausgenutzt werden
kann.
Ist diese Schwachstelle bereits seit der Erstveröffentlichung des Programms vorhanden, aber erst später entdeckt worden, spricht man von einer „zero day vulnerability“.

Welche Versionen sind betroffen?

Betroffen sind alle log4j-Versionen höher als 2.0 (beta9), welche die Lookup-Funktion zum ersten Mal
beinhaltet.
Die Versionen kleiner als 2.0 (beta9) sind zwar vor der log4shell Schwachstelle nicht betroffen,
allerdings werden diese Versionen in der Regel nicht mehr weiter gepflegt und enthalten andere
Schwachstellen.

Welche Anbieter sind betroffen?

Da Log4j über die Jahrzehnte zu einem Industriestandard für das Loggen von Anwendungen geworden
ist, sind viele namhafte Dienste und Anbieter, wie beispielsweise Amazon, Apple, Tesla, Netflix,
Steam, Minecraft etc. davon betroffen. Viele haben Ihre Lücken bereits geschlossen, oder bieten
Updates, oder Anweisungen für Ihre Produkte an. Theoretisch sind jedoch alle Anwendungen
betroffen, welche log4j, in einer betroffenen Version benutzen und mit dem Internet, oder einem mit
dem Internet verbundenen Rechner verbunden sind und dadurch den Lookup empfangen können.
Eine Übersicht über Stellungnahmen der Anbieter finden Sie unter:
SwitHak github

 

Warum ist log4shell so gefährlich?

Mehrere Faktoren spielen hier eine Rolle.
Einerseits ist die Ausnutzung der Schwachstelle recht trivial und physischer Kontakt mit dem
Zielrechner wird nicht benötigt. Angreifer können so aus der Ferne agieren.
Dazu kommt, dass log4j sehr beliebt und deshalb auch auf Geräten mit sensiblen Daten weit verbreitet
ist. Vor allem auf Servern und Webdiensten wird es häufig benutzt um Ereignisse zu protokollieren.
Die Angriffe können außerdem automatisiert stattfinden, sodass gleichzeitig Unmengen an Computern
das Internet nach anfälligen Geräten durchsuchen können.
Erschwerend kommt hinzu, dass für viele Nutzer, nicht ersichtlich ist, ob log4j Bestandteil einer
Anwendung ist.
Unter anderem hat das BSI deshalb die Warnstufe „Rot“ ausgerufen.

Wie werden Angriffe voraussichtlich ablaufen?

Es ist anzunehmen, dass Angreifer derzeit das Internet nach verwundbaren Geräten scannen und
versuchen werden sich in betroffene Systeme einzunisten.
Zeitverzögert werden dann „Crypto-Trojaner“ eingesetzt.
Dabei handelt es sich um Schadsoftware, welche wichtige Daten verschlüsselt und für die
Entschlüsselung Lösegeld verlangt.
Bereits als die Lücke öffentlich wurde, sind Meldungen eingegangen, bei denen betroffene Geräte in
„Zombies“ umgewandelt wurden. Dabei wird der infizierte Computer benutzt, um beispielsweise
Spam-Mails zu verschicken, oder Crypto-Währungen zu schürfen.
Aber auch „DDoS-Attacken“, bei denen die Erreichbarkeit des Servers beeinträchtigt wird, sind
möglich.