Log4Shell: Eine Bestandsaufnahme
Nach der Panik wegen der größten Sicherheitslücke aller Zeiten blieb der große Knall aus. Kommt der noch oder haben wir das Gröbste überstanden?
(Bild: whiteMocca/Shutterstock.com)
- Fabian A. Scherschel
Die Sicherheitslücke Log4Shell schätzten viele Beobachter aus der Security-Szene als eine, wenn nicht sogar die größte Software-Schwachstelle überhaupt ein. Schon der anfänglich vergebene CVSS-Score von 10 ließ die meisten Admins aufschrecken und so mancher Sicherheitsexperte sagte deswegen wohl Anfang Dezember seine Wochenendplanung ab. Die Schwachstelle im Java-Logging-Framework Log4j ist deswegen so perfide, weil Java nun mal überall drin steckt und Angreifer in vielen Fällen bloß etwas ins Log eines Programms schreiben müssen, um Code mit Admin-Rechten auf dem entsprechenden System auszuführen. Und Dinge in ein Application-Log schreiben ist einfach – oft lässt sich das schon mit einer einfachen Web-Anfrage bewerkstelligen. Bei der Java-Version des Hit-Videospiels Minecraft reichte sogar schon eine Chat-Nachricht im Spiel.
Wie funktioniert Log4Shell?
Log4j schreibt die Daten, die von außen kommen – und damit eigentlich als potenziell gefährlich gelten sollten – nämlich nicht einfach in eine Log-Datei. Es deserialisiert diese Strings und behandelt den Inhalt wie Java-Objekte, also Befehle, die es auszuführen gilt. Irgendwann haben sich die Java-Entwickler gedacht, dass es doch praktisch wäre, wenn Java Konfigurationsdateien aus dem Netz, also auch aus der großen Weite des Internets, nachladen kann. Also haben sie das Java Naming and Directory Interface (JNDI) erfunden – welches genau das tut: Java-Objekte zur Laufzeit aus dem Netz nachladen.
Im Zusammenhang mit Log4j wird JNDI aber zu einer großkalibrigen Handfeuerwaffe, welche direkt auf den eigenen Fuß gerichtet ist. Denn nun kann ein Angreifer einfach einen Pfad zu bösartigem Code in seine Webanfragen oder Minecraft-Chat-Nachrichten schreiben. Und diesen Pfad schreibt Log4j leider nicht einfach als Text weg, sondern interpretiert ihn dank JNDI als Befehl, holt sich den bösen Code aufs System und führt ihn aus. Und weil ein Logger meist Admin-Rechte hat, hat der Angreifer gerade mit einer simplen Anfrage das System vollständig übernommen. Insgesamt ist das Ganze eher ein Feature als ein Bug.
Angesichts der Masse an verwundbaren Systemen und der Leichtigkeit, mit der Log4Shell-Lücken von Angreifern auszunutzen ist, verwundert es, dass der ganz große Knall bisher ausblieb. Obwohl ein überwiegender Teil der globalen Internet-Infrastruktur initial betroffen war – darunter Amazons AWS, Googles Cloud Platform, Microsofts Azure, Apples iCloud, die Server von Cloudflare und Web-Dienste wie Twitter – kam es überraschenderweise zu keinen größeren Ausfällen. Schlagzeilen machten lediglich ein erfolgreicher Angriff auf das belgische Verteidigungsministerium und eine Reihe von Hacks, bei denen Kriminelle Ransomware und Kryptominer installierten. Bisher scheint das Internet als Ganzes ziemlich glimpflich davongekommen zu sein. Woran liegt das?
Eine ganze Branche wachgerüttelt
Nach den ersten Berichten über die Sicherheitslücke breitete sich blitzartig Katastrophenstimmung aus – ironischerweise vor allem über Twitter, das zu dieser Zeit noch verwundbar war. Dadurch scheint die gesamte IT-Branche auf einmal wachgerüttelt worden zu sein. Das englische Nachrichtenportal The Register vergleicht das mit der Y2K-Panik zu Beginn des 21. Jahrhunderts. Nur, dass der entsprechende Nachrichten-Signalweg innerhalb von Minuten die Wirkung entwickelte, die damals innerhalb von Monaten erreicht wurde.
Sofort war klar, wie weiterverbreitet, gefährlich und einfach auszunutzen die Lücke ist. Dadurch machten sich auf der Stelle alle Sicherheitsverantwortlichen, die einigermaßen gut informiert und ihr Geld wert waren, daran, verwundbare Software in ihrem Geltungsbereich aufzuspüren und abzusichern oder diese erst einmal aus dem Verkehr zu ziehen. Dieser kollektive Kraftakt der IT-Industrie scheint auf den ersten Blick sehr effektiv gewesen zu sein. Alle großen Player mit entsprechenden Standardvorgehensweisen (SOPs) und Sicherheits-Policys haben ihre Systeme noch Anfang Dezember augenscheinlich innerhalb kurzer Zeit gegen Log4Shell-Attacken abgesichert.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat deswegen die Warnstufe für die Lücke mittlerweile von Rot auf Gelb herabgesetzt. Die Lage habe sich "deutlich entspannt", so das BSI. Auch das Nationale Cyber-Sicherheits-Zentrum (NCSC) der Niederlande sieht die Bedrohungslage weniger besorgniserregend als im Dezember.
Ein Rattenschwanz, der es in sich hat
Allerdings sollten Admins weiter wachsam sein, so ein Sprecher des NCSC. Es sei zu erwarten, dass Angreifer weiterhin auf der Suche nach verwundbaren Systemen sind. Zudem sei es wahrscheinlich, dass auch auf absehbare Zeit noch gezielte Attacken auf ungepatchte Systeme ausgeführt werden.
Wie ist es mit der Sicherheit bestellt bei all den kleineren und mittelständischen Unternehmen, öffentlichen und privaten Organisationen oder gar Privatpersonen, deren Geräte betroffen sind? Schließlich steckt Java überall drin, von den Servern, die unsere Clouds am Laufen halten, bis hin zu Millionen von Embedded-Systemen in Smarthomes und Industrieanlagen auf der ganzen Welt. Allein in der Cloud waren bei Veröffentlichung der Sicherheitslücke ganze 93 Prozent aller Unternehmens-Umgebungen angreifbar, schätzen die Wirtschaftsprüfer von Ernest & Young und das Cloud-Sicherheits-Startup Wiz. Wie viele selbst-administrierte Server, Router und Smart-Home-Geräte verwundbare Java-Logger an Bord hatten oder noch haben, lässt sich schwer schätzen.
Holger Unterbrink, zuständig für Bedrohungsanalyse bei Ciscos Talos Group, hält die Gefahr noch lange nicht für gebannt. Zwar habe man seit Bekanntwerden der Log4Shell-Schwachstelle "nur begrenzt Aktivitäten von Angreifern nachweislich beobachten" können, das könne aber nicht als Entwarnung verstanden werden. Unterbrink sieht bei vielen Unternehmen "Schwierigkeiten, alle anfälligen Stellen zu finden und zu patchen" an denen Log4j im Einsatz ist. Das wiederum gäbe "Tätern Zeit, komplexe, zielgerichtete und effektive Angriffe auszuführen." Log4j ist demnach einfach zu verbreitet; besonders kleinere Firmen scheinen der Aufgabe nur schlecht gewachsen zu sein, ihre komplette Infrastruktur abzusichern.
Angreifer haben sich längst im Firmennetz eingegraben
Die Sicherheitsfirma Sophos schätzt, dass Log4Shell uns noch über Jahre begleiten wird. Experten der Firma vermuten, dass eine große Anzahl von Systemen – und die Netzwerke, zu denen sie gehören – durch erfolgreiche Log4Shell-Angriffe kompromittiert wurden, ohne dass dies entdeckt wurde. Die Angreifer nutzten die Schwachstelle, um unbemerkt einen Brückenkopf zu etablieren – so die Theorie –, bevor die Lücke geschlossen wurde. In einem solchen Fall haben die mit der Absicherung betrauten Administratoren und Sicherheitsteams vielleicht gar nicht gemerkt, dass diese Systeme bereits unter der Kontrolle von Angreifern waren, weil diese eine weitere Backdoor etabliert haben und sich dann tot stellten. In diesem Fall ist ein Patchen der Log4Shell-Schwachstellen nicht ausreichend. Mit anderen Worten: Es könnte da draußen eine enorme Dunkelziffer von Systemen geben, die sicher aussehen, aber in Wirklichkeit unter der Kontrolle von Angreifern stehen und jederzeit zu Zombies werden könnten.
Ende Dezember kam c't-Redakteur Mirko Dölle zu einer ähnlichen Einschätzung: "Staatliche und kriminelle Angreifer haben Log4Shell überwiegend dazu genutzt, um möglichst lautlos und unerkannt Hintertüren und Brückenköpfe in bislang hoch gesicherten Bereichen zu installieren. Die eigentlichen Angriffe auf die IT-Infrastruktur durch Datenklau oder Verschlüsselungstrojaner und anschließenden Erpressungen stehen erst noch bevor. Typischerweise erkunden Angreifer ihr Opfer erst ausgiebig, bevor sie zuschlagen – auch deshalb, weil aktuell alle Admins alarmiert sind und schon auf kleinste Anzeichen achten. Im Frühjahr, wenn wieder der Alltag eingekehrt und etwas Gras über Log4Shell gewachsen ist, dürfte erst die heiße Phase beginnen." Bisher ist diese heiße Phase anscheinend noch nicht angelaufen. Aber in der Security-Community scheinen alle darauf zu warten, dass die Spätfolgen von Log4Shell sichtbar werden.
Das sieht auch Unterbrink ähnlich. Man gehe bei Cisco Talos davon aus, "dass sich Angreifer über Log4J Zugang zu Netzwerken verschaffen, um dann monatelang inaktiv zu bleiben. Hoch entwickelte Bedrohungsakteure nutzen diese Zeit in der Regel dafür, die Umgebung auszuloten und weitere Schritte zu planen." Unterbrink geht davon aus, dass in den kommenden Monaten Sicherheitsvorfälle ans Licht der Öffentlichkeit kommen, "deren ursprünglicher Infektionsvektor Log4j war."
Eher eine stille Gefahr statt des ganz großen Knalls
Obwohl Log4Shell eine wirklich gefährliche Sicherheitslücke ist, hat die großflächige Alarmierung der Öffentlichkeit und das prompte Handeln der Verantwortlichen, vor allem bei den großen Tech-Konzernen, erst einmal Schlimmeres verhindert. Obwohl Bedrohungs-Scans und Angriffe laut mehrere Anti-Viren-Hersteller seit Anfang Januar deutlich weniger werden, muss trotzdem damit gerechnet werden, dass im Internet noch zehn-, wenn nicht sogar hunderttausende Systeme schlummern, die für die Lücke anfällig sind. Weil ein Angriff über Log4Shell immer ziemlich maßgeschneidert auf das Programm abzielen muss, in dem der Logger zum Einsatz kommt, könnte es sein, dass so gut wie alle Systeme, die sich vollautomatisch übernehmen lassen, bereits angegriffen wurden. Allerdings können nach wie vor verwundbare Systeme dann immer noch recht leicht der Lücke zum Opfer fallen, wenn ein Angreifer sich die Mühe macht, gezielt vorzugehen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Ebenso bleibt eine unmöglich einzuschätzende Dunkelziffer an Systemen, die zwar sicher aussehen, es aber nicht sind, weil sie unentdeckte Brückenköpfe von Angreifern aus den ersten Angriffswellen im Dezember enthalten. Log4Shell wird somit wohl noch für viel Unruhe sorgen. Allerdings nicht, wie vielleicht von einigen erwartet – an vielen Orten gleichzeitig auf einen Schlag. Weniger publikumswirksam, aber nicht unbedingt weniger verheerend.
(bme)
