Die Schwach­stelle Log4Shell (CVE-2021-44228) betrifft die weit verbrei­tete Log4j-Proto­kol­lie­rungs­bi­blio­thek für Java-Anwen­dungen und stellt eine Injek­ti­ons­schwach­stelle dar. Dies ermög­licht es Angrei­fern, auf einem Ziel­system eigenen Programm­code auszu­führen und das System zu kompro­mit­tieren. Neben dem Poten­zial zur Nach­la­dung von Schad­soft­ware besteht die Gefahr, dass auch vertrau­liche Daten exfil­triert werden können.

Die Brisanz von Log4Shell wurde zu Beginn durch das Bundesamt für Sicher­heit und Infor­ma­ti­ons­technik (BSI) mit einem CVSS-Score von 10 nach dem allge­meinen Common Vulnerabi­lity Scoring System (CVSS) als beson­ders kritisch einge­stuft. Dies liegt unter anderem daran, dass System­ad­mi­nis­tra­toren und -admi­nis­tra­to­rinnen sowie Program­mierer und Program­mie­re­rinnen welt­weit die betrof­fene Biblio­thek nutzen und die Schwach­stelle anfangs leicht auszu­nutzen war:

Anhal­tende Gefahr: Warum Log4Shell weiterhin ein globales Problem ist

Die Herab­stu­fung der Kriti­k­alität der Schwach­stelle auf Gelb durch das BSI am 12.01.2022 signa­li­sierte, dass Entwickler und Entwick­le­rinnen mitt­ler­weile Updates bereit­ge­stellt hatten, um die Sicher­heits­lücke zu beheben. Diese Maßnahme sollte die betrof­fenen Systeme vor poten­zi­ellen Angriffen schützen. Trotz dieser Verfüg­bar­keit von Updates haben jedoch nicht alle Dienst­be­treiber und Soft­ware­ent­wickler die erfor­der­li­chen Aktua­li­sie­rungen durch­ge­führt. Dies führte unter anderem dazu, dass im Mai nach Angaben von Check Point Rese­arch 45 % aller Orga­ni­sa­tionen welt­weit weiterhin von der Injek­ti­ons­schwach­stelle Log4j betroffen waren. Somit bleibt die Anfäl­lig­keit bestehen, da nicht alle Akteure die erfor­der­li­chen Schritte unter­nommen haben, um ihre Systeme ange­messen zu schützen.

Weiterhin besteht die anhal­tende Gefahr darin, dass in bereits kompro­mit­tierten Systemen mögli­cher­weise Back­doors und Brücken­köpfe instal­liert wurden. Solange diese unent­deckt bleiben, können die Systeme im Nach­gang ausge­späht, mani­pu­liert und/oder verschlüs­selt werden. Bei Verdacht auf beispiels­weise einge­schleuste Schad­soft­ware wird Betrof­fenen empfohlen, auf vorhan­dene Siche­rungs­ko­pien zurück­zu­greifen, um die Inte­grität ihrer Systeme wiederherzustellen.

Mögliche Maßnahmen zur Risikomitigation 

Um eine möglichst hohe Sicher­heit zu erlangen und das vorhan­dene Risiko zu mini­mieren ist ein gut orga­ni­siertes Patch Manage­ment unver­zichtbar! Um verblei­bende Rest­ri­siken durch mögliche Hinter­türen zu beherr­schen, gilt es weiterhin den Daten­strom über das Moni­to­ring zu über­prüfen. Hierfür wird unter anderem der Einsatz von Endpoint Detec­tion and Response-Lösungen (EDR-Lösungen) durch IBM empfohlen, um den ein- und ausge­henden Daten­ver­kehr auf Anoma­lien zu unter­su­chen. Wenn Sie hierzu kompe­tente Bera­tung benö­tigen, kommen Sie gerne auf uns zu!

  1. „May 2023’s Most Wanted Malware: New Version of Guloader Deli­vers Encrypted Cloud-Based Payloads“, Check­point Rese­arch, Juni 2023 (https://www.globalsecuritymag.com/May-2023-s-Most-Wanted-Malware-New-Version-of-Guloader-Delivers-Encrypted-Cloud.html Letzter Zugriff: 29.01.2024)
  2. „Kriti­sche Schwach­stelle in Java-Biblio­thek Log4j“, Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik, o.J. (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Schwachstelle-log4Shell-Java-Bibliothek/log4j-schwachstelle/log4j_node.html Letzter Zugriff: 29.01.2024).
  3. „Java-Biblio­thek Log4j – eine Bilanz“, Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik, o.J. (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Schwachstelle-log4Shell-Java-Bibliothek/log4j_node.html Letzter Zugriff: 29.01.2024)
  4. „Was ist die Log4j-Schwach­stelle“, IBM, o.J. (https://www.ibm.com/de-de/topics/log4j Letzter Zugriff: 29.01.2024)