Die Schwachstelle Log4Shell (CVE-2021-44228) betrifft die weit verbreitete Log4j-Protokollierungsbibliothek für Java-Anwendungen und stellt eine Injektionsschwachstelle dar. Dies ermöglicht es Angreifern, auf einem Zielsystem eigenen Programmcode auszuführen und das System zu kompromittieren. Neben dem Potenzial zur Nachladung von Schadsoftware besteht die Gefahr, dass auch vertrauliche Daten exfiltriert werden können.
Die Brisanz von Log4Shell wurde zu Beginn durch das Bundesamt für Sicherheit und Informationstechnik (BSI) mit einem CVSS-Score von 10 nach dem allgemeinen Common Vulnerability Scoring System (CVSS) als besonders kritisch eingestuft. Dies liegt unter anderem daran, dass Systemadministratoren und -administratorinnen sowie Programmierer und Programmiererinnen weltweit die betroffene Bibliothek nutzen und die Schwachstelle anfangs leicht auszunutzen war:
Anhaltende Gefahr: Warum Log4Shell weiterhin ein globales Problem ist
Die Herabstufung der Kritikalität der Schwachstelle auf Gelb durch das BSI am 12.01.2022 signalisierte, dass Entwickler und Entwicklerinnen mittlerweile Updates bereitgestellt hatten, um die Sicherheitslücke zu beheben. Diese Maßnahme sollte die betroffenen Systeme vor potenziellen Angriffen schützen. Trotz dieser Verfügbarkeit von Updates haben jedoch nicht alle Dienstbetreiber und Softwareentwickler die erforderlichen Aktualisierungen durchgeführt. Dies führte unter anderem dazu, dass im Mai nach Angaben von Check Point Research 45 % aller Organisationen weltweit weiterhin von der Injektionsschwachstelle Log4j betroffen waren. Somit bleibt die Anfälligkeit bestehen, da nicht alle Akteure die erforderlichen Schritte unternommen haben, um ihre Systeme angemessen zu schützen.
Weiterhin besteht die anhaltende Gefahr darin, dass in bereits kompromittierten Systemen möglicherweise Backdoors und Brückenköpfe installiert wurden. Solange diese unentdeckt bleiben, können die Systeme im Nachgang ausgespäht, manipuliert und/oder verschlüsselt werden. Bei Verdacht auf beispielsweise eingeschleuste Schadsoftware wird Betroffenen empfohlen, auf vorhandene Sicherungskopien zurückzugreifen, um die Integrität ihrer Systeme wiederherzustellen.
Mögliche Maßnahmen zur Risikomitigation
Um eine möglichst hohe Sicherheit zu erlangen und das vorhandene Risiko zu minimieren ist ein gut organisiertes Patch Management unverzichtbar! Um verbleibende Restrisiken durch mögliche Hintertüren zu beherrschen, gilt es weiterhin den Datenstrom über das Monitoring zu überprüfen. Hierfür wird unter anderem der Einsatz von Endpoint Detection and Response-Lösungen (EDR-Lösungen) durch IBM empfohlen, um den ein- und ausgehenden Datenverkehr auf Anomalien zu untersuchen. Wenn Sie hierzu kompetente Beratung benötigen, kommen Sie gerne auf uns zu!
- „May 2023’s Most Wanted Malware: New Version of Guloader Delivers Encrypted Cloud-Based Payloads“, Checkpoint Research, Juni 2023 (https://www.globalsecuritymag.com/May-2023-s-Most-Wanted-Malware-New-Version-of-Guloader-Delivers-Encrypted-Cloud.html Letzter Zugriff: 29.01.2024)
- „Kritische Schwachstelle in Java-Bibliothek Log4j“, Bundesamt für Sicherheit in der Informationstechnik, o.J. (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Schwachstelle-log4Shell-Java-Bibliothek/log4j-schwachstelle/log4j_node.html Letzter Zugriff: 29.01.2024).
- „Java-Bibliothek Log4j – eine Bilanz“, Bundesamt für Sicherheit in der Informationstechnik, o.J. (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Schwachstelle-log4Shell-Java-Bibliothek/log4j_node.html Letzter Zugriff: 29.01.2024)
- „Was ist die Log4j-Schwachstelle“, IBM, o.J. (https://www.ibm.com/de-de/topics/log4j Letzter Zugriff: 29.01.2024)