Log4Shell

kritische Sicherheitslücke in Java-Logging-Bibliothek Log4j

Am 24. November wurde eine kritische Sicherheitslücke (Zero-Day-Schwachstelle) in Log4j an Apache gemeldet. Sie wurde später (10. Dezember) unter dem Namen Log4Shell (CVE-2021-44228) veröffentlicht; sie kann remote ausgenutzt werden und erlaubt einem Angreifer eigenen Code auszuführen (RCE). Erfolgreich angegriffen wurden unter anderem Amazon, Apple, Tesla, Twitter, Steam, etc. Wegen der einfachen Ausnutzung und der möglichen schweren Folgen hat das BSI bereits am Samstag dem 11. Dezember die höchste Warnstufe „Rot“ vergeben. Die Warnstufe der Cyber-Sicherheitswarnung (2021-549177-1232) wurde nach 32 Tagen am 12.01.2022 auf Gelb herabgesetzt, weil sich die Lage laut BSI deutlich entspannt hat und eine Vielzahl von Softwareherstellern inzwischen Patches oder Workarounds für ihre Produkte veröffentlicht haben – also nicht alle.

Diese Risiken und Schutzmaßnahmen gelten auch für PCs, Notebooks, Tablets oder Smartphones – in der Regel Hunderte Millionen IT- und IoT-Geräte -, wenn eine Software wie Minecraft mit einem verdeckten Server mit der Java-Bibliothek log4j z. B. in Java-Webcams, Auto-Navigationssystemen und Set-Top-Boxen, Küchengeräten, weißer Ware und sogar Parkuhren, intelligenten Zähler-Gateways und medizinischen Geräten installiert ist.

Sind Sie betroffen?

Um zu prüfen, ob ihre Server verwundbar sind, können Sie gerne unser Script nutzen.

Betroffen ist Log4j vor Version 2.15.0 (6. Dezember 2021). Ebenfalls verwundbar sind einige Produkte, die Log4j einbinden. Eine ständig aktualisierte Liste hierzu findet sich hier.

Was sollten Sie sofort tun, falls Sie betroffen sind?

  • Patchen: Log4j auf Version 2.15.0 (oder neuer) aktualisieren oder die Produkte aktualisieren, die Log4j nutzen.
  • Mitigieren: Sollte Patchen nicht möglich sein, kann die Lücke durch Deaktivieren des Loggings von Lookups mitigiert werden. Hierzu „log4j2.formatMsgNoLookups“ oder die Umgebungsvariable „LOG4J_FORMAT_MSG_NO_LOOKUPS“ auf „true“ setzen.
  • Erfolgreich angegriffen? Überprüfen, ob die Sicherheitslücke bereits ausgenutzt wurde. Hierbei hilft das Tool log4shell-detector. Bei erfolgreichem Angriff muss das gesamte System forensisch untersucht werden; kritische Systeme müssen vom Netz genommen werden.