Log4J-Sicherheitslücke: Alarmstufe Rot für das Internet
SECURITY INSIGHTS | 24 Januar 2022
Die am 24. November 2021 durch Chen Zhaojun vom Alibaba Cloud Security Team gemeldete Sicherheitslücke „Log4Shell“ (CVE-2021-44228) in der Java-Protokollierungsbibliothek Log4J gilt als eine der weitreichendsten Schwachstellen in der Geschichte des Internets. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sprach kurz nach Bekanntwerden des Sicherheitslecks von einer „extrem kritischen Bedrohungslage“ und rief die höchste Warnstufe Rot aus.
Am 12. Januar 2022 stufte das BSI die IT-Bedrohungslage zu Log4Shell auf „Gelb“ herunter. Das bedeutet jedoch noch keine Entwarnung: Die Behörde empfiehlt nach wie vor eine „verstärkte Beobachtung von Auffälligkeiten“. Unternehmen sollten weiterhin prüfen, ob alle eingesetzten Produkte gegen die Ausnutzung der Schwachstelle abgesichert sind.
Was macht Log4Shell so gefährlich?
Von der Lücke in Log4J geht ein immenses Gefährdungspotenzial aus, weil die seit 2001 verfügbare Open-Source-Bibliothek in zahllosen Anwendungen zum Einsatz kommt. In vielen Fällen ist es für Unternehmen kaum nachvollziehbar, in welchen Programmen die Bibliothek überall implementiert ist. Das erschwert ein Patchen der Lücke zusätzlich.
Angreifer scannen aktuell das Internet nach verwundbaren Systemen und nutzen den Fehler in Log4J gezielt aus, um unbemerkt Schadcode auf Webserver und verbundene Systeme einzuschleusen. Die möglichen Folgen reichen von Datenverlusten und Erpressungsversuchen über Dienstausfälle bis hin zur Kompromittierung ganzer Firmennetze.
So funktioniert der Log4J-Exploit
Um die Schwachstelle in der Java-Bibliothek auszunutzen, senden Angreifer Textschnipsel mit speziellen Codezeichenfolgen in Form von Benutzernamen oder Nachrichten an eine Webanwendung, die mit Log4J zur Protokollierung arbeitet. Der durch diesen Prozess eingeschleuste Befehl veranlasst die Anwendung dazu, weiteren Schadcode von Servern zu laden, die von den Angreifern kontrolliert werden. Dabei kann es sich um alle möglichen Arten von Schadcode handeln – insbesondere Viren, Trojaner oder auch Würmer. Über die Log4J-Sicherheitslücke können Angreifer damit auch das komplette System unter ihre Kontrolle bringen und aus der Ferne steuern.
Es liegen bereits Hinweise auf erfolgreiche Kompromittierungen mit Kryptominern vor, die Rechenleistung infizierter Systeme für das Schürfen von Kryptowährungen wie Bitcoin missbrauchen. Außerdem wird die Schwachstelle aktiv von Botnetzen ausgenutzt. Ransomware-Gruppen wie Conti suchen gezielt nach verwundbaren Systemen, um Erpressungsangriffe zu starten. Angreifer müssen für erfolgreiche Attacken nicht einmal zwingend Schadcode nachladen. Für die Offenlegung sensibler Daten wie etwa API-Keys genügen schon einzelne Anfragen, warnt das BSI.
So schützen Sie sich vor Log4J-basierten Angriffen
Sicherheitsupdates für Log4J und betroffene Produkte umgehend einspielen – Anfällige Software können Sie durch Abgleich mit einer von der CISA bereitgestellten Liste betroffener Produkte identifizieren. Auch die Firmware von eingebetteten Systemen und vernetzten Geräten (z.B. Webcams, IoT-Devices, etc.) sollten Sie schnellstmöglich aktualisieren. Für Log4J selbst stehen abhängig von der verwendeten Java-Version Updates bereit (Vorsicht: Auch Nicht-Java-Systeme verwenden mitunter Log4J!):
Java 6: Log4J 2.3.2
Java 7: Log4J 2.12.4
Java 8 und höher: Log4J 2.17.1
Webdienste, die Log4J verwenden, intern identifizieren – Dazu empfiehlt das BSI einen vollständig automatisierbaren, Python-basierten Scanner namens log4j-scan. Dieser ist besonders hilfreich, um selbstentwickelte Internet- und Intranet-Anwendungen zu identifizieren, die für die Log4Shell-Bedrohung anfällig sind. Auf den Systemen können die beiden Java-Archive log4j-api-2.XX.X.jar und log4j-core-2.XX.X.jar durch Dateiscans identifiziert werden.
Bestehende Dienste prüfen und ausgehende Verbindungen einschränken – Server sollten nur ausgehende Verbindungen initiieren dürfen, wenn es unbedingt notwendig ist. Folgende Dienste gehören auf Ihre Blocklist, weil sie häufig für Angriffe missbraucht werden: DNS, IIOP, LDAP, LDAPS, RMI.
Server mittels WAF absichern und Log4J-Scanversuche durch Bots unterbinden – Myra bietet eigens entwickelte Regelsätze für seine Hyperscale WAF an, um Log4J-Exploits auf Ihren Systemen transparent zu erfassen und Zugriffe auf verwundbare Server zu blockieren. Dadurch gewinnen Sie wertvolle Zeit für das Patchen Ihrer Systeme und die Säuberung kompromittierter Webserver. Mittels Bot Management können Sie Scan Bots noch effektiver kontrollieren und verhindern, dass Angreifer Ihre Systeme automatisiert nach Log4J-Schwachstellen absuchen.
Flächendeckend Multi-Faktor-Authentifizierung (MFA) implementieren – Der Einsatz von MFA bei internen Anmeldungen verlangsamt Angreifer massiv und sollte daher immer eingerichtet sein.
Logging optimieren – Insbesondere XFF (X-Forwarded-For) sollte auf allen Firewalls, Load Balancern, Web Proxies und WAFs aktiviert sein, um die Angreifer-IP durchgängig zu protokollieren. Auf diese Weise gehen keine Informationen verloren, die Sie ggf. benötigen, um einen Gesamtkontext des Angriffsversuchs herzustellen.