Die Log4j-Schwachstelle, auch bekannt als „Log4Shell“, ist eine kritische Schwachstelle, die im November 2021 in der Apache Log4j-Protokollierungsbibliothek entdeckt wurde. Log4Shell gewährt im Grunde Hackern die vollständige Kontrolle über Geräte, auf denen nicht gepatchte Versionen von Log4j ausgeführt werden. Böswillige Akteure können die Schwachstelle nutzen, um fast jeden beliebigen Code auf anfälligen Systemen auszuführen.
Forscher halten Log4Shell für eine „katastrophale“ Sicherheitslücke, weil sie so weit verbreitet – Log4j ist eines der am häufigsten eingesetzten Open-Source-Programme der Welt – und somit leicht ausnutzbar ist. Jen Easterly, Direktorin der US Cybersecurity and Infrastructure Security Agency (CISA), bezeichnete sie als „eine der schwerwiegendsten, die ich in meiner gesamten Karriere gesehen habe, wenn nicht sogar die schwerwiegendste von allen“.
Log4Shell löste im Dezember 2021 eine Welle von Cyberangriffen aus. Der X-Force Threat Intelligence Index von IBM verzeichnete zwischen 2020 und 2021 einen Anstieg der Schwachstellenausnutzung um 34 %, der hauptsächlich auf Log4Shell zurückzuführen ist.
Log4Shell wurde kurz nach der Entdeckung gepatcht, wird aber noch jahrelang ein Risiko darstellen, da Log4j tief in die Software-Lieferkette eingebettet ist. Das US Department of Homeland Security (PDF; Link befindet sich außerhalb von ibm.com) schätzt, dass es mindestens ein Jahrzehnt dauern wird, jede anfällige Instanz zu finden und zu beheben.
Log4j ist ein von der Apache Software Foundation entwickeltes Protokollierungsframework. Wie der Name schon sagt, ist Log4j eine Protokollfunktion (ein sog. „Logger“). Sie zeichnet wichtige Informationen wie Fehlermeldungen und Benutzereingaben in einem Programm auf.
Log4j ist eine Open-Source-Softwarebibliothek, ein Paket vorgefertigten Codes, das Entwickler frei verwenden können. Anstatt eigene Logger zu schreiben, können Entwickler die Log4j-Bibliothek in ihre Apps einbinden. Dieser Komfort ist der Grund, warum Log4j so weit verbreitet und in Produkte von großen Unternehmen wie Microsoft und Amazon integriert ist, um nur einige zu nennen.
Log4Shell – Common Vulnerability and Exposure (CVE) identifier, CVE-2021-44228 – ist eine Sicherheitslücke für Remote-Code-Ausführung (RCE), die in einigen Versionen von Log4j vorhanden ist. Der Fehler betrifft Apache Log4j 2, 2.14.1 und frühere Versionen. Log4j 2.15 und höher sowie alle Versionen von Apache Log4j 1 sind davon nicht betroffen.
Log4Shell ergibt sich aus der Art und Weise, wie ältere Versionen von Log4j 2 mit Java Naming and Directory Interface (JNDI)-Lookups umgehen. JNDI ist eine Application Programming Interface (API), mit der Java-Anwendungen auf Ressourcen, die auf externen Servern gehostet werden, zugreifen können. Eine JNDI-Suche ist ein Befehl, der die App dazu auffordert, zu einem Server zu wechseln und ein bestimmtes Objekt herunterzuladen, z. B. bestimmte Daten oder ein Skript. Ältere Versionen von Log4j 2 führen automatisch jeden Code aus, der auf diese Weise heruntergeladen wurde.
Benutzer können JNDI-Suchen an anfällige Versionen von Log4j senden, indem sie sie in Protokollnachrichten aufnehmen. Das ist ganz einfach. In älteren Versionen der Minecraft Java Edition, die Log4j zum Aufzeichnen von Benutzernachrichten verwenden, kann ein Benutzer beispielsweise die JNDI-Suche in das öffentliche Chatfenster eingeben.
Hacker können diese JNDI-Funktion nutzen, um bösartigen, willkürlichen Code aus der Ferne auszuführen. Zunächst richtet der Hacker einen Server ein, der ein gängiges Protokoll wie das Lightweight Directory Access Protocol (LDAP) verwendet, um nicht aufzufallen. Als Nächstes wird eine bösartige Payload auf diesem Server gespeichert, beispielsweise eine Malware-Datei. Schließlich wird eine JNDI-Suche an ein Programm gesendet, die es anweist, zum LDAP-Server des Angreifers zu gehen, die Payload herunterzuladen und den Code auszuführen.
Sicherheitsforscher des Technologieriesen Alibaba entdeckten Log4Shell am 24. November 2021. Es erhielt sofort die höchstmögliche CVSS-Bewertung (Common Vulnerability Scoring System): 10 von 10. Einige Faktoren haben zu dieser Bewertung beigetragen.
- Log4Shell war eine Zero-Day-Schwachstelle, d. h. zum Zeitpunkt der Entdeckung war kein Patch verfügbar. Akteure, von denen eine Sicherheitsbedrohung ausgeht, konnten Log4Shell ausnutzen, während Apache an einer Lösung arbeitete.
- Log4j ist zudem eine der am häufigsten verwendeten Protokollierungsbibliotheken und in zahlreiche Endgeräte, Webanwendungen und Unternehmenscloudservices integriert. Laut Wiz und EY waren 93 % aller Cloud-Umgebungen gefährdet (Link befindet sich außerhalb von ibm.com), als Log4Shell entdeckt wurde.
- Unternehmen können nicht immer sofort erkennen, ob sie gefährdet sind. Log4j ist in Netzwerken oft als indirekte Abhängigkeit vorhanden. Das bedeutet, dass die Assets des Unternehmens Log4j möglicherweise nicht verwenden, aber auf andere Apps und Dienste, die dies tun, angewiesen sind.
- Und schließlich ist Log4Shell auch sehr einfach auszunutzen. Hacker benötigen keine besonderen Berechtigungen oder Authentifizierung. Sie können Chaos anrichten, indem sie bösartige Befehle in öffentliche Formulare wie Chatboxen und Anmeldeseiten eingeben. Und weil Log4j mit anderen Services auf demselben System kommunizieren kann, können Hacker über Log4j Payloads an andere Teile des Systems weiterleiten.
Am 9. Dezember 2021 wurde ein Machbarkeitsnachweis-Code für die Ausnutzung von Log4Shell auf GitHub veröffentlicht und Hacker führten Angriffe durch. Große Unternehmen und Services wie Minecraft, Twitter und Cisco waren gefährdet. Auf dem Höhepunkt der Log4Shell-Aktivität verzeichnete Check Point mehr als 100 Angriffe pro Minute und es waren mehr als 40 % aller Unternehmensnetzwerke weltweit betroffen (Link befindet sich außerhalb von ibm.com).
Die ersten Angriffe verbreiteten Botnet- und Kryptomining-Malware. Einige Hacker nutzten die Schwachstelle, um dateilose Angriffe zu starten und bösartige Skripte an Windows- und Linux-Computer zu senden, um diese dazu zu bringen, Passwörter und andere vertrauliche Informationen preiszugeben.
Mehrere Ransomware-Banden haben Log4Shell für ihre Zwecke genutzt. Insbesondere haben Hacker die Ransomware-Sorte Khonsari über Minecraft verbreitet. Die Ransomware Night Sky zielte auf Systeme, auf denen VMware Horizon ausgeführt wird, ab.
Sogar nationalstaatliche Akteure schlossen sich an. Hacker, die mit China, Iran, Nordkorea und der Türkei in Verbindung gebracht werden, haben die Schwachstelle ausgenutzt.
Apache rollte am 10. Dezember 2021 den ersten Patch (Log4j-Version 2.15.0) aus. Dieser Patch ließ jedoch eine weitere Sicherheitslücke offen – CVE-2021-45046 –, die es Hackern ermöglichte, bösartige Befehle an Protokolle mit bestimmten nicht standardmäßigen Einstellungen zu senden.
Apache veröffentlichte am 14. Dezember 2021 einen zweiten Patch (Log4j-Version 2.16.0). Auch er wies eine Schwachstelle auf – CVE-2021-45105 –, die es Hackern ermöglichte, Denial-of-Service-Angriffe (DoS) zu starten.
Der dritte Patch, Log4j-Version 2.17, behob die DoS-Schwachstelle, ließ aber eine letzte Schwachstelle bestehen – CVE-2021-44832 –. Sie ermöglicht es Hackern, die Kontrolle über eine Log4J-Komponente namens „appender“ zu übernehmen und Remote-Code auszuführen. Apache hat dieses Problem mit einem vierten und letzten Patch behoben, Log4j-Version 2.17.1.
Obwohl Log4j 2.17.1 Log4Shell und alle damit zusammenhängenden Schwachstellen auf Apache-Seite geschlossen hat, nutzen Cyber-Bedrohungen die Schwachstelle weiterhin aus. Noch im Mai 2023 war Log4Shell weiterhin eine der am häufigsten ausgenutzten Schwachstellen (Link befindet sich außerhalb von ibm.com).
Log4Shell ist aus mehreren Gründen hartnäckig.
Zum einen ist Log4j tief in den Software-Lieferketten vieler Unternehmen verankert. Heutzutage werden viele Apps durch eine Kombination bereits vorhandener Open-Source-Softwarebibliotheken erstellt. Dieser Prozess ist bequem, bedeutet aber auch, dass Unternehmen nur einen begrenzten Einblick in alle Komponenten ihrer Anwendungen haben. Es kann leicht vorkommen, dass alte Versionen von Log4j übersehen werden.
Wenn eine anfällige Version von Log4j gepatcht wird, bleibt sie nicht immer gepatcht. Im November 2022 berichtete Tenable (Link befindet sich außerhalb von ibm.com), dass 29 % der Assets, die weiterhin für Log4Shell anfällig waren, „Wiederholungen“ waren. Sie wurden in der Vergangenheit gepatcht, doch der Fehler ist erneut aufgetreten. Dieses Szenario tritt auf, weil Benutzer beim Erstellen oder Aktualisieren von Apps manchmal versehentlich Softwarebibliotheken verwenden, die weiterhin nicht gepatchte Versionen von Log4j enthalten.
Schließlich haben Hacker eine clevere Methode entwickelt, um ihre Spuren zu verwischen. Laut CISA (Link befindet sich außerhalb von ibm.com) verwenden einige Hacker Log4Shell, um in ein Netzwerk einzubrechen, und patchen dann das Asset. Das Unternehmen wiegt sich in Sicherheit, doch die Hacker haben sich bereits Zugang verschafft.
Die neuesten Versionen von Log4j sind frei von Log4Shell. Cybersicherheitsexperten empfehlen Sicherheitsteams, dafür zu sorgen, dass alle Log4j-Instanzen in ihren Systemen auf dem neuesten Stand sind.
Die Aktualisierung von Log4j kann ein langsamer Prozess sein, da Unternehmen oft tief in ihren Assets nachforschen müssen, um sie zu finden. In der Zwischenzeit können Sicherheitsteams Tools für kontinuierliche Schwachstellenscans und Bedrohungserkennung wie Attack Surface Management (ASM) und Endpoint Detection and Response (EDR)-Plattformen verwenden, um mit dem Internet verbundene Assets zu überwachen. Experten empfehlen eine gründliche Untersuchung jeglicher Anzeichen von Log4Shell-Aktivität durch Vorfallsreaktionsteams.
Nachdem Log4Shell bekannt wurde, fügten viele Firewalls, Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS) Regeln hinzu, um Fälle einer Ausnutzung von Log4Shell zu erkennen. Diese Tools können Sicherheitsteams dabei helfen, Datenverkehr von von Angreifern kontrollierten Servern zu erkennen und zu blockieren.
18. Juli 2013: Apache veröffentlicht Log4j 2.0-Beta9 – die erste Version, die das JNDI-Plug-in unterstützt. Obwohl die Schwachstelle erst Jahre später entdeckt wird, ist Log4Shell von diesem Moment an vorhanden.
24. November 2021: Sicherheitsforscher von Alibaba entdecken Log4Shell und melden es Apache. Apache beginnt mit der Arbeit an einem Patch, veröffentlicht jedoch keine öffentliche Sicherheitswarnung.
9. Dezember 2021: Sicherheitsforscher von Alibaba finden Beweise dafür, dass Log4Shell in freier Wildbahn diskutiert wird, und der Machbarkeitsnachweis-Code für eine Ausnutzung wird auf GitHub veröffentlicht.
10. Dezember 2021: Apache bringt den ersten Patch heraus und die Minecraft-Entwickler entdecken Log4Shell in der Minecraft Java Edition. Die Cybersicherheitscommunity erkennt schnell den Ernst der Lage und Unternehmen versuchen fieberhaft, ihre Systeme abzusichern.
11. Dezember 2021: Cloudflare findet Belege dafür, dass Akteure, von denen eine Sicherheitsbedrohung ausgeht, früher als zunächst angenommen mit der Ausnutzung von Log4Shell begonnen haben – bereits am 1. Dezember.
14. Dezember 2021: CVE-2021-45046 wird entdeckt und Apache veröffentlicht einen Patch, um das Problem zu beheben.
17. Dezember 2021: CVE-2021-45105 wird entdeckt und Apache veröffentlicht einen Patch, um das Problem zu beheben.
28. Dezember 2021: CVE-2021-44832 wird entdeckt und Apache veröffentlicht einen letzten Patch. Ab Log4j-Version 2.17.1 ist Log4Shell vollständig behoben.
4. Januar 2022: Die US Federal Trade Commission (FTC) (Link befindet sich außerhalb von ibm.com) kündigt an, dass sie beabsichtigt, Unternehmen, die Verbraucherdaten für Hacker zugänglich machen, weil sie Log4Shell nicht behoben haben, Strafen aufzuerlegen.
Mai 2023: Check Point stellt fest, dass Log4Shell weiterhin die am zweithäufigsten ausgenutzte Sicherheitslücke ist.
Überlisten von Angriffen mit einer vernetzten, modernisierten Sicherheitssuite. Das QRadar-Portfolio ist mit auf Unternehmen abgestimmter KI ausgestattet und bietet integrierte Produkte für Endpunktsicherheit, Protokollmanagement, SIEM und SOAR – mit einer gemeinsamen Benutzeroberfläche, gemeinsamen Erkenntnissen und vernetzten Workflows.
IBM Datensicherheitslösungen, die on-premises oder in einer Hybrid-Cloud implementiert werden, bieten Ihnen mehr Transparenz und Erkenntnisse, um Cyberbedrohungen zu untersuchen und zu beheben, Echtzeitkontrollen durchzusetzen und die ordnungsrechtliche Compliance zu verwalten.
Proaktive Bedrohungssuche, kontinuierliche Überwachung und eine gründliche Untersuchung von Bedrohungen sind nur einige der Prioritäten, mit denen eine ohnehin schon ausgelastete IT-Abteilung konfrontiert ist. Ein vertrauenswürdiges Vorfallsreaktionsteam in Bereitschaft kann Ihre Reaktionszeit verkürzen, die Auswirkungen eines Cyberangriffs minimieren und Ihnen dabei helfen, sich schneller zu erholen.
Erfahren Sie alles, was Sie über Zero-Day-Exploits und die entscheidende Rolle, die sie für die Sicherheit spielen, wissen müssen. Erstellt von Randori, einem IBM Unternehmen.
Cyberangriffe sind Versuche, durch unbefugten Zugriff auf Computersysteme Assets anderer zu stehlen, verfügbar zu machen, zu verändern, zu deaktivieren oder zu zerstören.
Schwachstellenmanagement ist die kontinuierliche Entdeckung und Behebung von Sicherheitslücken in der IT-Infrastruktur und Software eines Unternehmens.