Dabei können Angreifer beliebigen Code auf den Systemen ihrer Opfer ausführen, wenn auf dem Server eine verwundbare Version von Log4J2 verwendet wird. Ein weiteres Problem: Die Lücke ist mit einem einfachen Befehl ausführbar und kann mit nur wenig Fachkenntnis exploitet werden. Auch das BSI warnt vor den Folgen der Lücke.
Betroffen ist die Java-Bibliothek Log4J2, die zum Schreiben von Logs in Java-Anwendungen zum Einsatz kommt. Die Bibliothek gilt als Quasi-Standard und wird daher millionenfach genutzt. Es reicht aus, wenn man in einer Java-Anwendung einen Logging-Vorgang mit einem nutzerdefinierten String einleiten kann.
Kann der Protokollaufruf getätigt werden, muss nur auf eine kleine Exploit-Datei auf einer entfernten Webressource verwiesen werden, um den Angriff durchzuführen. Der Code wird nicht auf seine Herkunft geprüft, es werden also auch Ressourcen außerhalb des eigenen Servers akzeptiert.
Wer Java-Andwendungen mit Log4J2 nutzt, sollte daher umgehend die bereitstehenden Patches einspielen. Auch wenn bislang kein Angriff auf das eigene Netzwerk erkannt wurde, empfiehlt es sich, ein Compromise-Assessment von einem qualifizierten IT-Dienstleister durchführen zu lassen. Wegen der einfachen Ausnutzbarkeit ist zu erwarten, dass Kriminelle hunderttausende Systeme erst einmal auf Vorrat kompromittieren und in einigen Wochen beginnen, diese Infektionen etwa durch das Aufspielen von Ransomware zu monetarisieren.
Logging ist ein essentieller Bestandteil von allen größeren Programmen und Bibliotheken, und die Logging-Bibliothek Log4J2 darum quasi Standard. Zudem bauen Programme modular auf bestehenden Programmen und Bibliotheken auf. Für Entwickler*innen reicht es nicht aus, nur ein Update für Log4J2 durchzuführen, sie müssen auch die genutzten Bibliotheken und Programme auf den neuesten Stand bringen, welche ebenfalls Log4J2 nutzen. Aus diesem Grund ist so gut wie jede Java-Applikation von der Sicherheitslücke betroffen. Allein Apache-Server (auch von Log4Shell betroffen) werden von circa einem Drittel aller Webseiten weltweit verwendet.
Das Bundesamt für Sicherheit (BSI) warnt vor der Sicherheitslücke und hat die Alarmstufe „Rot“ ausgerufen. Die Lage sei „extrem kritisch“. Im Blogpost der Cybersicherheitsbehörde heißt es dazu: „Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar. Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden.“
Auch die kommenden Wochen werden in der IT daher wohl arbeitsreich.
Update
G DATA hat die Berichte über die Sicherheitslücke in Log4j zur Kenntnis genommen und arbeitet mit Hochdruck daran, alle betroffenen Systeme abzusichern oder zu isolieren. Kundenseitige Clients und auch die G DATA Update-Server sind nicht von Log4Shell betroffen. In vielen Kerndiensten der G DATA Infrastruktur wurden bereits aktualisierte Versionen der Software eingespielt.
Da Log4j in sehr vielen Anwendungen zum Einsatz kommt, müssen in einigen Fällen noch Abhängigkeiten geprüft bzw. Informationen der Hersteller ausgewertet werden. Wir arbeiten daran, diesen Prozess so schnell wie möglich abzuschließen.