Aus Sicht vieler IT-Sicherheitsprofis war der 9.Dezember 2021 ein rabenschwarzer Tag: Im Apache-Logging-Paket Log4j (CVE-2021-44228), der besonders weit verbreiteten und beliebten Java-Logging-Bibliothek, wurde eine besonders schwerwiegende Sicherheitslücke entdeckt. Die sogenannte Log4Shell-Schwachstelle kann von Angreifern besonders einfach ausgenutzt werden, um schädlichen Code auszuführen. Patches gestalten sich dagegen eher kompliziert, was bedeutet, dass dieses Problem ähnlich langlebig wie die Corona-Pandemie sein könnte.
Die Sicherheitsorganisation MITRE stufte die Schwachstelle als kritisch ein und bewertete sie mit einem maximalen CVSS-Schweregrad (CSSV = Common Vulnerability Scoring System) von zehn Punkten. Kurz darauf begannen erste Angreifer, die Log4j-Schwachstelle auszunutzen. Staatliche Cybersicherheits-Institutionen auf der ganzen Welt, darunter das BSI, sahen sich veranlasst, unverzüglich Warnungen herauszugeben, in denen sie Unternehmen aufforderten, ihre Systeme sofort zu patchen.
Log4j-Sicherheitslücke ist weit verbreitet
Jonathan Care, Senior Director Analyst bei Gartner, beobachtet heute schon eine "extrem weite Verbreitung der Log4j-Sicherheitslücke". Sie betreffe Unternehmensanwendungen genauso wie Embedded Systems und deren Sub-Komponenten. Java-basierte Anwendungen wie Cisco Webex, Minecraft oder FileZilla FTP seien Beispiele für betroffene Programme, aber die Liste sei noch keineswegs vollständig. Die Schwachstelle betreffe sogar die Mars-Mission "Helicopter", wo Apache Log4j für das Event Logging nutze - eine Behauptung, die die Nasa allerdings energisch bestreitet.
Sicherheits-Profis katalogisieren inzwischen die betroffenen Systeme auf Github. Naturgemäß kann diese Liste allerdings nicht vollständig sein. Sie bietet keine Garantie dafür, dass ungenannte Systeme nicht betroffen sind. Zudem bewertet Gartner die Wahrscheinlichkeit, dass diese Schwachstelle in immer mehr Systemen ausgenutzt werden wird, als hoch. Auch wenn ein bestimmter technischer Stack kein Java verwende, sollten Sicherheitsverantwortliche davon ausgehen, dass wichtige Lieferantensysteme - SaaS-Anbieter, Cloud-Hosting-Anbieter und Webserver-Anbieter - dies täten.
Wird die Schwachstelle nicht behoben, können Angreifer sie nutzen, um Server, Anwendungen und Geräte zu übernehmen und in Unternehmensnetzwerke einzudringen. Es gibt schon etliche Berichte über Malware, Ransomware und andere automatisierte Bedrohungen, die die Sicherheitslücke aktiv ausnutzen.
Log4j-Angriffe sind recht einfach
Dabei ist die Angriffsschwelle besonders niedrig. Der Exploit findet schon vor der Authentifizierung statt, das heißt, Angreifer müssen sich nicht erst bei einem betroffenen System angemeldet haben, um einzudringen. Mit anderen Worten: IT-Sicherheits-Profis sollten davon ausgehen, dass ihre Webserver angreifbar sind.
Gartner empfiehlt den Chief Information Security Officers (CISOs), die Identifizierung und Behebung der Log4j-Schwachstelle zu einer absoluten und sofortigen Priorität zu machen. Sie sollten zu Beginn eine detaillierte Prüfung sämtlicher Anwendungen, Websites und Systeme in Ihrem Verantwortungsbereich vornehmen, die mit dem Internet verbunden sind oder als öffentlich zugänglich angesehen werden können. Das betreffe auch Herstellerprodukte und Cloud-basierte Dienste, die beim Anwender gehostet werden. Der Vorrang sollte dabei Systemen gegeben werden, die sensible betriebliche Daten enthalten, zum Beispiel Kundendaten oder Zugangsberechtigungen.
Ist diese Prüfung abgeschlossen, sollten IT-Sicherheitsverantwortliche ihre Aufmerksamkeit auf externe Mitarbeiter richten und sicherstellen, dass diese ihre persönlichen Geräte und Router aktualisieren. Diese stellen ein wichtiges Glied in der Sicherheitskette dar. Hier wird es nicht ausreichen, einfach nur eine Liste mit Anweisungen herauszugeben. Immerhin stellen anfällige Router einen potenziellen Zugang zu wichtigen Unternehmensanwendungen und Datenbeständen dar. Um hier voranzukommen, wird das Sicherheitsteam auf die Zusammenarbeit mit der gesamten IT angewiesen sein.
Gartner empfiehlt ferner, in Abstimmung mit der vorhandenen Incident-Response-Strategie die Reaktion auf schwerwiegende Vorfälle vorzubereiten. Dabei gelte es, alle Ebenen des Unternehmens einzubeziehen - einschließlich des CEO, des CIO und des Vorstands. CISOs sollten die Führungsebene unbedingt im Detail aufklären und darauf vorbereiten, im Zweifel auch in der Öffentlichkeit Rede und Antwort stehen zu müssen. Die Log4j-Schwachstelle und die Angriffsmuster, die sie ausnutzen, werden für eine ganze Weile akut bleiben. Gartner rät dazu, mindestens für die nächsten zwölf Monate besonders wachsam zu sein. (hv)