Sicherheitsteams in großen und kleinen Unternehmen versuchen, eine bisher unbekannte Sicherheitslücke namens Log4Shell zu schließen, die Hackern das Potenzial hat, Millionen von Geräten über das Internet zu kompromittieren.
Wenn die Sicherheitsanfälligkeit ausgenutzt wird, ermöglicht sie Remotecodeausführung auf anfälligen Servern, wodurch ein Angreifer Malware importieren kann, die Maschinen vollständig kompromittieren würde.
Die Sicherheitsanfälligkeit befindet sich in log4j, an Open-Source-Protokollierungsbibliothek, die von Apps und Diensten im gesamten Internet verwendet wird. Protokollierung ist ein Prozess, bei dem Anwendungen eine laufende Liste der von ihnen ausgeführten Aktivitäten führen, die später im Fehlerfall überprüft werden kann. Nahezu jedes Netzwerksicherheitssystem führt eine Art Protokollierungsprozess durch, was populären Bibliotheken wie log4j eine enorme Reichweite verschafft.
„Wenn ich auf die letzten 10 Jahre zurückblicke, fallen mir nur zwei weitere Exploits mit ähnlicher Schwere ein“
Marcus Hutchins, ein bekannter Sicherheitsforscher, der vor allem dafür bekannt ist, den globalen WannaCry-Malware-Angriff zu stoppen , stellte online fest, dass Millionen von Anwendungen betroffen wären. „Millionen von Anwendungen verwenden Log4j für die Protokollierung, und der Angreifer muss lediglich die App dazu bringen, eine spezielle Zeichenfolge zu protokollieren“, sagte Hutchins in einem Tweet.
Der Exploit wurde zuerst auf Websites gesehen, die Minecraft-Server hosten, die entdeckten, dass Angreifer die Sicherheitsanfälligkeit durch das Posten von Chat-Nachrichten auslösen können. Ein Tweet des Sicherheitsanalyseunternehmens GreyNoise berichtet, dass das Unternehmen bereits zahlreiche Server entdeckt hat, die das Internet nach Computern durchsuchen, die für den Exploit anfällig sind.
Ein Blogbeitrag des Anwendungssicherheitsunternehmens LunaSec behauptete, dass die Spieleplattform Steam und Apples iCloud wurden bereits als angreifbar befunden. Weder Valve noch Apple haben sofort auf eine Bitte um Stellungnahme reagiert.
Um die Schwachstelle auszunutzen, muss ein Angreifer die Anwendung veranlassen, eine spezielle Zeichenfolge im Protokoll zu speichern. Da Anwendungen routinemäßig eine Vielzahl von Ereignissen protokollieren – beispielsweise von Benutzern gesendete und empfangene Nachrichten oder Details zu Systemfehlern – ist die Schwachstelle ungewöhnlich leicht auszunutzen und kann auf verschiedene Weise ausgelöst werden.
„Dies ist eine sehr schwerwiegende Schwachstelle aufgrund der weit verbreiteten Verwendung von Java und diesem Paket log4j“, sagte John Graham-Cumming, CTO von Cloudflare, gegenüber The Verge. „Es gibt eine enorme Menge an Java-Software, die mit dem Internet und in Back-End-Systemen verbunden ist. Wenn ich auf die letzten 10 Jahre zurückblicke, fallen mir nur zwei andere Exploits mit ähnlicher Schwere ein: Heartbleed, mit dem Sie Informationen von Servern abrufen konnten, die sicher hätten sein sollen, und Shellshock, mit dem Sie Code ausführen konnten auf einem Remote-Rechner.“
Die Vielfalt der Anwendungen, die für den Exploit anfällig sind, und die Reihe möglicher Übermittlungsmechanismen bedeuten jedoch, dass der Firewall-Schutz allein das Risiko nicht ausschließt. Theoretisch könnte der Exploit sogar physisch ausgeführt werden, indem der Angriffsstring in einem QR-Code versteckt wird, der von einem Paketzusteller gescannt wurde und so in das System gelangt, ohne dass er direkt über das Internet gesendet wurde.
Ein Update der log4j-Bibliothek wurde bereits veröffentlicht, um die Schwachstelle zu mindern, aber angesichts der Zeit, die benötigt wird, um sicherzustellen, dass alle anfälligen Maschinen aktualisiert werden, bleibt Log4Shell eine dringende Bedrohung.