Log4Shell: Die Sicherheitslücke und die Lehre daraus zusammengefasst

Nach Hafnium endete das Jahr 2021 dank Log4Shell nervenaufreibend für alle IT-Verantwortlichen. Wieder einmal wurde deutlich: Keine Software ist zu einhundert Prozent sicher.

Doch das Thema wird uns auch 2022 noch begleiten. Die Sicherheitslücke ist weit verbreitet, trivial ausnutzbar und bietet ein Einfallstor für eine Vielzahl an Schadsoftware, die auch Wochen oder Monate später noch aktiv werden kann. Nicht ohne Grund hat das BSI die Warnstufe Rot ausgerufen.

Wir haben zusammengefasst, wie die Schwachstelle funktioniert, welche Folgen sie haben kann und wie Sie Ihre Organisation am besten schützen.

Aktuell warnt das BSI vor einer Schwachstelle in der viel genutzten Protokollierungsbibliothek log4j. Diese wird bei Java-Anwendungen oftmals eingesetzt, um Protokolldaten einer Anwendung performant zu aggregieren.

Die Schwachstelle ermöglicht einem Angreifer, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Durch die Verwendung einer Zeichenkette kann die Schwachstelle trivial – also sehr einfach – ausgenutzt werden. Dabei können sowohl Schadprogramme nachgeladen als auch vertrauliche Daten abgeschöpft werden. Die Schwachstelle wird aktuell bereits aktiv ausgenutzt.

Betroffen sind zunächst alle Systeme, die über das Internet für einen Angreifer erreichbar sind und Java-Anwendungen verwenden. Nachgelagerte Systeme im internen Netz werden zum Ziel, wenn es der Angreifer schafft, über die Systeme im Internet Zugriff zu erhalten.

Das Niederländische Cyber-Security-Zentrum (NCSC) hat eine Liste von Software publiziert, die regelmäßig erweitert und aktualisiert wird bezüglich des Standes bekannter Softwareanwendungen und der log4j Schwachstelle. Auch das BSI aktualisiert regelmäßig seine Informationen. Da die Protokollierungsbibliothek log4j so weit verbreitet ist, gibt es allerdings noch keinen vollständigen Überblick über alle betroffenen Anwendungen.

Die Log4Shell-Sicherheitslücke wird bereits weltweit mit unterschiedlichen Angriffsformen ausgenutzt. Dazu gehören zum einen Ransomware-Angriffe. Es werden aber auch betroffene Systeme zur Errechnung von Krypto-Währungen missbraucht oder in Bot-Netze integriert. Mit diesen Netzen können dann beispielsweise DDoS-Angriffe durchgeführt werden.

Das BSI warnt dabei vor einer breiten Ausnutzung von Log4Shell und weiteren erfolgreichen Cyber-Angriffen. Das Unberechenbare: Die Angriffe können auch erst in einigen Wochen oder Monaten erfolgen. Wird die Schwachstelle zunächst nur für eine Erstinfektion genutzt, können sich Angreifende eine Art Hintertür offenhalten. Diese Hintertür kann dann auch zu späteren Zeitpunkten genutzt werden, um weitere Schadsoftware einzuspielen oder vertrauliche Daten abzugreifen.

Wird die Schwachstelle erfolgreich ausgenutzt, ist sogar eine vollständige Übernahme des betroffenen Systems möglich. Laut BSI gab es bereits welt- und auch deutschlandweite Massen-Scans, versuchte Kompromittierungen und Meldungen von erfolgreichen Kompromittierungen.

Aufgrund der weiten Verbreitung, der einfachen Ausnutzung und den vielfältigen Angriffsmöglichkeiten hält das BSI alle Unternehmen, Organisationen und staatlichen Stellen an, akut zu handeln.

Um die entsprechenden Schutzmaßnahmen einzuleiten, sollten Sie zunächst die Systeme und Anwendungen, die betroffen sind, anhand Ihrer Netzpläne und Softwareinventarisierung identifizieren. Prüfen Sie zudem regelmäßig, ob es Updates beim BSI oder NCSC zu der log4j-Schwachstelle gibt.

Am besten können Sie sich schützen, indem Sie die aktuellste Version von Log4j (mindestens 2.17.1) einspielen. Dabei sind Sie allerdings abhängig davon, dass Hersteller und Dienstleister entsprechende Updates für ihre Software zur Verfügung stellen. Prüfen Sie daher regelmäßig, ob es für die Software, die Sie nutzen, Updates gibt und spielen Sie diese zeitnah ein. Dazu priorisieren Sie Ihre Anwendungen gemäß dem Schutzbedarf der Daten, die über das System erreichbar sind und der Positionierung im Netzplan. Im Anschluss stoßen Sie Ihre Prozesse für das Einspielen kritischer Sicherheitspatche laut Patch-Konzept an.

Alternativ können Sie auch nicht zwingend benötigte, aber betroffene Systeme vorübergehend abschalten bis ein Update zur Verfügung steht. Die ausgehenden Netzwerkaktivitäten von Servern sollten Sie zudem durch den Einsatz von Firewalls und Proxys auf das erforderliche Mindestmaß reduzieren.

Sie können auch die problematische Funktionalität manuell deaktivieren. Für maximale Sicherheit sollten Sie bei jedem Dienst einzeln überprüfen, ob die vorgenommenen Einstellungen wirksam sind. Durch das manuelle Abschalten könnte allerdings die Funktionalität der Anwendung beeinträchtigt werden.

Außerdem sollten Sie Monitoring betreiben, um Unregelmäßigkeiten zu entdecken. Dabei sollten Sie nach zur Log4Shell-Lücke passenden Angriffsmustern Ausschau halten. Dazu gehören http-Header mit Zeichenkette ${jndi:ldap:// oder insgesamt merkwürdige Zeichenketten.

Bei der Abwendung von möglichen Hacking-Angriffen gilt: Vorbereitung ist alles. Sie benötigen klare Strukturen und Prozesse. Nur durch systematisches Vorgehen können Sie Ihr Unternehmen und die Daten Ihrer Kund:innen schützen.

Daher ist es sinnvoll, entsprechende Handlungsweisen und Prozesse zu etablieren, umzusetzen sowie zu kommunizieren. Hierzu gehört ein Patch- und Update-Management nach dem Stand der Technik. Neben der Verantwortlichkeit sollten Sie auch den Umgang mit Patches regeln. Idealerweise werden Patches erst in einer Testumgebung eingespielt. Außerdem ist es wichtig, dass Sie vor dem Einspielen ein Backup erstellen, auf das Sie im Notfall zurückgreifen können. So sollten Sie auch beim Konfigurationsmanagement verfahren.

Damit Sie wichtige Entwicklungen nicht verpassen, sollten Sie regelmäßig nach Patches, Updates sowie Fehlermeldungen suchen. Nur wenn Ihr System auf dem neusten Stand ist, sind Sie auch vor bekannten Angriffen geschützt.

Um Ihr Unternehmen zu schützen, sollten Sie allerdings nicht nur ein Auge auf Patches, sondern auch auf Ihre eigenen Systeme haben. Durch Monitoring können Sie Fehlermeldungen in Ihrem System schneller erkennen – und zwar bevor Ihre Mitarbeitenden oder Kund:innen Sie darauf aufmerksam machen.

Damit Sie im Ernstfall keine wertvolle Zeit verlieren, sollten Sie bereits im Vorfeld Prozesse zum Umgang mit Notfällen sowie deren Dokumentation etablieren. Diese umfassen sowohl eine klare Regelung zur Verantwortlichkeit als auch die Schritte und Maßnahmen, die im Notfall einzuleiten sind. Da es bei Hacking-Angriffen auch zu Datenschutzvorfällen kommen kann, sollten Sie die Zuständigkeiten und Prozesse sowohl im Datenschutz als auch in der IT (-Sicherheit) regeln.

Die besten Prozesse nützen allerdings nichts, wenn sie nicht auch in der Praxis funktionieren. Daher: Testen Sie die Umsetzbarkeit der Prozesse bereits im Vorfeld und üben Sie den Ablauf mit Ihren Mitarbeitenden ein. Können Backups beispielsweise problemlos wiederhergestellt werden? So stellen Sie mögliche Problemfelder fest.

Sie möchten Ihre Organisation rundum zukunftsfähig und IT-sicher aufstellen? Wir unterstützen Sie und beraten Sie konzeptionell. Um auf Sicherheitslücken wie Log4Shell schnell und gezielt reagieren zu können, benötigen Sie eine Dokumentation Ihrer Infrastruktur von Hardware über Software bis hin zu Netzwerken. Mit der richtigen konzeptionellen Vorarbeit sind Sie optimal vorbereitet, um mit Sicherheitslücken und Cyberangriffen umzugehen. Bereiten Sie sich vor mit Hard- und Softwareinventarisierung durch die mit.data!

Bayerisches Landesamt für Datenschutzaufsicht (2021): „Java-Sicherheitslücke ‚Log4Shell‘“, https://www.lda.bayern.de/de/thema_log4shell.html, letzter Zugriff am 10. Januar 2022.

Bundesamt für Sicherheit in der Informationstechnik (2021): „Kritische ‚Log4Shell‘ Schwachstelle in weit verbreiteter Protokollierungsbibliothek Log4j (CVE-2021-44228), 22. Dezember 2021, https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549177-1032.pdf?__blob=publicationFile&v=4, letzter Zugriff am 10. Januar 2022.

Bundesamt für Sicherheit in der Informationstechnik (2021): „Kritische Schwachstelle Log4j CVE-2021-44228, CVE-2021-45046, CVE-2021-45105. Arbeitspapier Detektion und Reaktion“, 20. Dezember 2021, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/log4j-Schwachstelle-2021/log4j_Schwachstelle_Detektion_Reaktion.pdf?__blob=publicationFile&v=6, letzter Zugriff am 10. Januar 2022.

Bundesamt für Sicherheit in der Informationstechnik (2021): „Update: Warnstufe Rot: Schwachstelle Log4Shell führ zu extrem kritischer Bedrohungslage“, 16. Dezember 2021, https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html, letzter Zugriff am 10. Januar 2022.