Update, 16.12.2021: In Version 2.16.0 von Log4j wurde eine weitere Sicherheitslücke (CVE-2021-45046) geschlossen, die in der Version 2.15.0 bei bestimmten Logging-Optionen Angreifern die Möglichkeit offenließ, die Software mit einem Denial-of-Service-Angriff lahmzulegen. Updaten Sie deshalb umgehend auf Version 2.16.0, um auch diese Schwachstelle zu schließen.
Worum geht es?
Die Log4Shell-Schwachstelle (CVE-2021-44228) wurde am Donnerstag, den 9.12.2021, als Zero-Day-Exploit in der weit verbreiteten Java-Logging-Bibliothek log4j (Version 2) entdeckt. Durch die Protokollierung einer bestimmten Zeichenkette ermöglicht sie die Remote-Ausführung von Code (Remote Code Execution, (RCE)). Die Schwachstelle wird seit Donnerstag bereits aktiv ausgenutzt.
In Anbetracht der weiten Verbreitung der betroffenen Bibliothek, der schwerwiegenden Auswirkungen des Exploits (vollständige Kontrolle über Server) und der Leichtigkeit, mit der sie ausgenutzt werden kann, ist die Schwachstelle als äußerst kritisch einzustufen.
Wer ist betroffen?
Viele Dienste, darunter auch bekannte Cloud-Dienste wie Steam und Apple iCloud sowie Anwendungen wie Minecraft sind bzw. waren über die Schwachstelle angreifbar. Eine ausführliche Liste von betroffenen Produkten finden Sie hier.
Wie schließen Sie die Lücke?
Installieren Sie so bald wie möglich die von Herstellern zur Verfügung gestellten Sicherheitsupdates oder setzen Sie kurzfristig empfohlene Workarounds um.
Für Eigenentwicklungen: Aktualisieren Sie auf die aktuelle Version 2.15.0 von log4j. Diese wurde ohne die Sicherheitslücke veröffentlicht. log4j-core.jar ist auf Maven Central hier verfügbar. Die Version kann auch von der Apache Log4j Download Seite heruntergeladen werden.
Wenn ein Update keine Option darstellt sollten mitigierende Maßnahmen ergriffen werden. So kann beispielsweise ausgehender Netzwerkverkehr durch entsprechende Firewall-Regeln unterbunden werden. Für einige Software-Produkte stehen darüber hinaus Workarounds zum Schutz vor log4j zur Verfügung.
Bitte beachten Sie, dass Web Application Firewalls und ähnliche Schutzmechanismen, wie sie beispielsweise von Cloudflare eingesetzt werden, ausdrücklich nicht dazu geeignet sind, vor Ausnutzung dieser Schwachstelle zu schützen. Hintergrund ist, dass die aktuell in diesen Technologien eingesetzten Erkennungsmechanismen nur sehr einfache Angriffsmuster im Kontext der Log4Shell-Schwachstelle erkennen können.
Was sollten Sie jetzt tun?
Systemadministratoren sollten nun schnellstmöglich aktiv werden und die veröffentlichten Sicherheitsupdates einspielen. Darüber hinaus ist es äußerst wichtig, mit Hilfe von Sicherheitsüberprüfungen herauszufinden, ob Hacker bereits agiert haben. Denn wurden Ihre IT-Systeme bereits vor dem Einspielen der Sicherheitsupdates kompromittiert, kann sich der Angreifer durch eingebaute Hintertüren auch zukünftig Zugriff verschaffen bzw. seinen Angriff weiter ausbauen. Daher sollten Sie unmittelbar folgendes überprüfen:
- Sind Ihre Systeme von der Schwachstelle betroffen?
- Wurde die Schwachstelle bei Ihnen bereits ausgenutzt und wurden evtl. Spuren verwischt?
- Befinden sich aktuell Angreifer in Ihren Systemen?
- Wurden ggf. Hintertüren oder Remote Shells auf Ihren Servern eingebaut?
Handeln Sie zügig – Wir sind für Sie da
Für eine erste schnelle Indikation dafür, ob Ihre Systeme die Schwachstelle aufweisen, empfehlen wir Ihnen, einen Schwachstellenscan durchzuführen. Mit einem THOR Forensik-Scan geben wir Ihnen zusätzlich Antworten auf die Fragen, ob die Schwachstelle bereits ausgenutzt wurde und inwieweit Hacker Hintertüren in Ihren Systemen hinterlassen haben. So erlangen Sie zügig Klarheit und können entsprechend handeln. Eine umfangreiche IT-forensische Untersuchung ist erst im begründeten Verdachtsfall sinnvoll.
Mittelfristig liefert die Durchführung von professionellen Pentests Ihnen ausführliche Informationen dazu, welche Schwachstellen Ihre Systeme und Anwendungen aufweisen und damit anfällig für potenzielle Angriffe sind.
Kontaktieren Sie uns, wir helfen Ihnen gern.
