Schwachstelle in Java-Logging-Framework Log4j: alle Infos, Erste-Hilfe-Maßnahmen und die Folgen

Von Melanie Staudacher

Sie sind von der Sicherheitslücke Log4Shell im Framework Apache Log4j betroffen? Dann finden Sie hier alle relevanten Informationen über die Schwachstellen sowie Maßnahmen zur Schadensbegrenzung, die Hersteller, Distributoren und Systemhäuser bereitstellen.

Firmen zum Thema

Der ITK-Channel eilt zur Hilfe, um die Auswirkungen der Log4j-Schwachstellen zu begrenzen.
Der ITK-Channel eilt zur Hilfe, um die Auswirkungen der Log4j-Schwachstellen zu begrenzen.
(Bild: VanHope_AdobeStock.jpeg)

Log4Shell hält die ITK-Welt in Atem. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für die Sicherheitslücke im Log4j-Framework die Warnstufe Rot ausgerufen. Log4j ist bei Java-Anwendungen eines der am häufigsten genutzten Software-Frameworks zum Loggen von Daten. Das Projekt ist Teil der Apache Logging Services der Apache Software Foundation.

Apache selbst aktualisiert auf der eigenen Webseite die Informationen zur Sicherheitslücke.

Für Unternehmen ist der erste wichtige Schritt herauszufinden, ob sie Log4j im Einsatz haben und ob die Kunden betroffen sind. Kunden sollten Sicherheitsupdates von Softwareherstellern so schnell wie möglich installieren.

Auch der ITK-Channel reagiert. So hat der Distributor Arrow ein Video veröffentlicht, in dem Sicherheitsexperte und CEO von InnoSec, Gunnar Porada, Hintergründe der Sicherheitslücke Log4Shell erläutert:

Hilfe bei Log4Shell

Zudem veröffentlichen weitere Distributoren, Systemhäuser, Managed Service Provider und Hersteller Informationen über die Schwachstellen CVE-2021-44228 und CVE-2021-45046 und bieten Erste-Hilfe-Maßnahmen an.

Auch der Sicherheitshersteller Eset sieht die Schwachstellen als nach wie vor hoch problematisch an, da viele Computer noch nicht die erforderlichen Sicherheitsupdates erhalten haben. „Zum Teil ist die Open-Source-Bibliothek Log4j als Teil eines größeren Pakets auf einem Server oder einem Unternehmenssystem vorhanden, ohne dass IT-Administratoren davon wissen“, erklärt Thorsten Urbanski, IT-Sicherheitsexperte und Head of Communications bei Eset. „Wenn Angreifer die volle Kontrolle über ein anfälliges Gerät erlangen, können sie Cyber-Spionage betreiben, sensible Daten stehlen, Ransomware installieren oder die IT-Systeme eines Unternehmens auf andere Weise sabotieren.“

Der Hersteller empfiehlt folgende konkrete Maßnahmen:

  • Überprüfen Sie, wo Ihre Organisation die Open-Source-Bibliothek Log4j verwendet und welche Version im Einsatz ist. Die anfälligen Versionen sind die von 2.0-beta9 bis 2.14.1. Version 2.15 ist auch teilweise angreifbar.
  • Aktualisieren Sie Ihre Log4j-Bibliothek auf Version 2.16 und achten Sie auf zukünftige Updates.
  • Verwenden Sie Sicherheitssoftware, die die Ausnutzung von Schwachstellen erkennt und blockieren kann.
  • Blockieren Sie verdächtige IP-Adressen mit einer Firewall.
  • Bei infizierten Systemen muss gegebenenfalls über eine Neu-Installation nachgedacht werden. Alternativ könnte das Einspielen von Backups, die älter als zwei Wochen sind, sinnvoll sein. Dabei sollte dann auf Version 2.16 aktualisiert werden, bevor das Netzwerk wieder an das Internet angeschlossen wird.

Langfristige Folgen von Log4j

Alle von Log4j verwundbaren Instanzen zu finden, ist aktuell die größte Herausforderung. Die neuere der beiden Schwachstellen, CVE-2021-45046, erfordert ein erneutes Scannen und Patchen der Systeme und Assets – und das kurz vor dem Weihnachtsurlaub. Dementsprechend sorgen sich Administratoren, dass über die Feiertage ein Anschlag auf das eigene Unternehmen erfolgt.

Log4j ist nur ein weiteres Beispiel dafür, warum Unternehmen einen ständigen Überblick über ihre Umgebung haben müssen. Wenn sie nicht wissen, welche Workloads sie haben, und zwar bis auf die Ebene der installierten Anwendungen und Bibliotheken, können sie deren Sicherheit nicht gewährleisten.

Avi Shua, CEO von Orca Security

Sicherheitsexperten rechnen damit, dass die Schwachstellen und deren Auswirkungen Unternehmen noch lange beschäftigen werden. In der nächsten Zeit ist zu erwarten, dass deutlich mehr Ransomware-Fälle auftreten werden, bei denen Hacker über Log4Shell ins Firmennetz kommen und Unternehmen erpressen.

„In den meisten Fällen werden Systeme kompromittiert und mit entsprechender Schadsoftware infiziert, die zunächst inaktiv bleibt“, ergänzt Frank Melber, Director Customer Services beim Systemhaus Controlware. „Die Angreifer haben zu jeder Zeit die Möglichkeit, die Schadsoftware zu aktivieren und entsprechend weitere Komponenten nachzuladen. Nur, weil jetzt nichts auffällt heißt das nicht, dass die infizierten Systeme nicht nachträglich zu großen Problemen führen können. So ist es zum Beispiel denkbar, dass eine Ransomware bereits auf den Systemen vorhanden ist, aber erst zu einem späteren Zeitpunkt aktiviert wird.“

„Das dicke Ende von Log4Shell könnte erst noch auf uns zurollen“, fasst Urbanski zusammen. „Viele eCrime-Trittbrettfahrer haben sich bereits auf die Suche nach ungepatchten Systemen gemacht: Tendenz steigend. Daher gehen wir auch im kommenden Jahr von einer immensen Gefahr durch die Log4Shell-Sicherheitslücke aus.“

(ID:47905952)