Was ist die Apache Log4j/Log4Shell-Schwachstelle?
Log4Shell (CVE-2021-44228, CVE-2021-45046 und CVE-2021-45105) ist eine Schwachstelle, die es Angreifern per Remote-Code-Ausführung (RCE) ermöglicht, willkürlich Java-Code auszuführen und so die Kontrolle über einen Zielserver zu übernehmen.
Überblick über die Schwachstelle Log4Shell
2021 waren Zero-Day-Schwachstellen auf dem Vormarsch. Den Höhepunkt bildete Log4Shell, ein kritischer Fehler, der in der verbreiteten Java-basierten Logging Library Apache Log4j gefunden wurde. Er trägt die offizielle Bezeichnung CVE-2021-44228 und hat den Schweregrad 10 von 10 (CVSS v3.1) gemäß dem allgemeinen Bewertungssystem CVSS (Common Vulnerability Scoring System).
Die Schwachstelle wurde am 24. November 2021 zunächst privat an Apache gemeldet. Am 9. Dezember 2021 wurde Log4Shell offiziell publiziert, und mit Version 2.15.0 von Apache Log4j war ein erster Patch verfügbar.
Anschließende Berichte über Angriffe im tatsächlichen Gebrauch veranlassten mehrere nationale Cybersicherheitsbehörden, Warnungen auszugeben. Dazu gehörten die US Cybersecurity and Infrastructure Security Agency (CISA), das UK National Cyber Security Center (NCSC) und das Canadian Center for Cyber Security. Aufgrund der Beliebtheit von Apache Log4j waren möglicherweise mehrere hundert Millionen Geräte betroffen.
So funktioniert Log4Shell
Log4Shell ist eine Injektionsschwachstelle im der Java Naming and Directory Interface™ (JNDI), die eine Remote-Code-Ausführung (RCE) ermöglichen kann. Indem ein Angreifer nicht vertrauenswürdige Daten (z. B. bösartige Payloads) in die protokollierte Nachricht in einer betroffenen Apache Log4j-Version einfügt, kann er über die JNDI-Suche eine Verbindung zu einem Schadserver herstellen. Ergebnis: voller Zugriff auf Ihr System von einem beliebigen Ort weltweit.
Log4Shell kann zu weiteren Bedrohungen führen, da die JNDI-Suche verschiedene Arten von Verzeichnissen unterstützt: Domain Name Service (DNS) und Lightweight Directory Access Protocol (LDAP), die wertvolle Informationen über die Netzwerkgeräte des Unternehmens liefern, Remote Method Invocation (RMI) und Inter-ORB Protocol (IIOP). Bedrohungen sind zum Beispiel:
- Coin Mining: Angreifer können Ihre Ressourcen nutzen, um Kryptowährungen zu schürfen. Diese Bedrohung kann hohe Kosten verursachen, weil sehr viel Rechenleistung benötigt wird, um Services und Anwendungen in der Cloud auszuführen.
- Denial of Service (DoS) im Netzwerk: Diese Bedrohung ermöglicht es Angreifern, Netzwerke, Websites oder Services herunterzufahren und/oder zu deaktivieren, sodass das Zielunternehmen nicht mehr darauf zugreifen kann.
- Ransomware: Nach der RCE können Angreifer Daten zu beliebigen Zwecken sammeln und verschlüsseln.
Im Folgenden sehen Sie eine mögliche Infektionskette:
Anfällige Produkte, Anwendungen und Plug-Ins
Im Wesentlichen alle Geräte mit Internetverbindung, auf denen die Versionen 2.0 bis 2.14.1. von Apache Log4j ausgeführt werden. Die betroffenen Versionen sind Teil von Apache Struts, Apache Solr, Apache Druid, Elasticsearch, Apache Dubbo und VMware vCenter.
Patch und Behebung
Apache veröffentlichte zunächst Apache Log4j Version 2.15.0, um die Schwachstelle zu beheben. Diese Version funktionierte jedoch nur mit Java 8. Anwender mit früheren Versionen mussten immer wieder temporäre Lösungen einsetzen. Zum Zeitpunkt der Veröffentlichung dieses Artikels hatte Apache Version 2.16.0 veröffentlicht und Anwendern geraten, schnellstmöglich ein Update für potenziell betroffene Librarys durchzuführen.
Weitere Lösungsstrategien wie virtuelles Patching und die Verwendung eines Intrusion Detection/Prevention Systems (IDS/IPS) werden dringend empfohlen. Virtuelles Patching verhindert, dass die Schwachstelle weiter ausgenutzt werden kann. Das IDS/IPS überprüft den ein- und ausgehenden Datenverkehr auf verdächtiges Verhalten.
Apache Log4j
Weiterführender Research
Weiterführende Artikel