Log4j – kritische Schwachstelle erkennen und beheben

2021 wurde eine kritische Sicherheitslücke in der beliebten Java-Protokollierungsbibliothek Log4j mit dem Spitznamen „Log4Shell“ bekannt gegeben. Die Schwachstelle wird als CVE-2021-44228 geführt und bezieht sich auf die Remotecodeausführung, die einem Angreifer die vollständige Kontrolle über ein betroffenes System ermöglichen kann. Dieser Beitrag erläutert die wichtigsten Punkte und Beobachtungen über Log4Shell.

Log4j – wichtige Punkte und Beobachtungen

Log4Shell (CVE-2021-44228) ist eine Sicherheitslücke in Log4j, einer weit verbreiteten Open-Source-Protokollierungsbibliothek für Java. Die Sicherheitslücke wurde 2013 im Rahmen der Implementierung von LOG4J2-313 in die Log4j-Codebasis eingeführt. Die Ausnutzung der Schwachstelle als Zero-Day-Schwachstelle wurde erstmals am 1. Dezember 2021 registriert, neun Tage vor der öffentlichen Bekanntgabe. Seitdem steht fest, dass die Log4j-Versionen 2.0-beta9 bis 2.14.1 angreifbar sind. Die Verwendung bestimmter JDK-Versionen (6u211+, 7u201+, 8u191+ und 11.0.1+) macht die Ausnutzung schwieriger, bleibt aber anfällig. Es ist wichtig, festzustellen, ob Unternehmen diese Versionen von Log4j einsetzen. Dazu können sie Open-Source-Software Composition Analysis (SCA) Tools verwenden, um anfällige Log4j-Versionen zu identifizieren. Darüber hinaus können sie native Java-Build-Tools nutzen, um die Abhängigkeiten der Anwendung abzufragen, selbst wenn diese nicht direkt verpackt, sondern über eine Abhängigkeit eingebunden ist. In diesem Zusammenhang steht außerdem die Implementierung einer BYOD-Strategie im Unternehmen.

Kritische Schwachstellen erkennen

Falls sich herausstellt, dass Log4j im Einsatz ist, gibt es Maßnahmen, um das Problem zu beheben. Die effektivste Abhilfemaßnahme besteht darin, Log4j auf Version 2.16+ zu aktualisieren. Wenn es jedoch nicht möglich ist, die Log4j-Version zu aktualisieren, können Anwender die Anweisungen beispielsweise von oder Apache Foundation befolgen, um die Schwachstelle zu beheben. Als letzten Ausweg hat die Gemeinschaft auch eine virtuelle Patching-Methode zur Verfügung gestellt, um eine Ausnutzung zur Laufzeit zu verhindern.

Wie die Log4Shell-Schwachstelle funktioniert

Die Log4Shell-Schwachstelle zielt auf die Teile von Log4j ab, die benutzergesteuerte Daten analysieren und protokollieren. Teams, die ihre Infrastruktur und Geschäftsabläufe überwachen, protokollieren routinemäßig Client-Daten, einschließlich HTTP-Anfragen oder IP-Adressen. Log4Shell ermöglicht es Angreifern, diesen Vorgang zu missbrauchen, um anfällige Anwendungen zu kompromittieren. Log4Shell macht sich speziell die Fähigkeit von Log4j zunutze, JNDI, das Java Naming and Directory Interface, zu verwenden. Diese Funktion wurde im Jahr 2013 hinzugefügt. Durch Verwendung einer speziell gestalteten Zeichenfolge kann ein Angreifer die Anwendung dazu zwingen, eine Verbindung zu einem vom Angreifer kontrollierten LDAP-Server herzustellen und eine bösartige Nutzlast auszugeben. Es empfehlen sich eine Reihe von Abwehrmaßnahmen, um eine erfolgreiche Ausnutzung zu verhindern.

Log4Shell-Schwachstelle – das ist zu beachten

Es ist nicht nur wichtig zu wissen, wann ein Angreifer versucht, den Log4Shell-Exploit auf Anwendungen einzusetzen, sondern auch zu erkennen, ob er erfolgreich war und Zugriff auf das System erhalten hat. Die meisten dieser Aktionen sind verdächtig, insbesondere in einer modernen Cloud-Native-Umgebung, in der Container unveränderlich sein sollen. Auch Java-Prozesse, die eine Shell oder ein System-Dienstprogramm starten, sind auffällig. Dies ist häufig ein Indikator dafür, dass eine Anwendungsschwachstelle zur Ausführung von Systembefehlen ausgenutzt wurde. Malware versucht häufig, Systemdienste zu erstellen, die fortbestehen. Obwohl dies in einer Container-Umgebung sinnlos ist, ist dieses Verhalten ein Hinweis auf Angreiferaktivitäten. Besonders in Container-Umgebungen ist die Verwendung von Crontabs höchst verdächtig. Die Verwendung eines Netzwerkdienstprogramms innerhalb eines Containers kann ein Indikator für Angreiferaktivitäten sein. Wenn Anwender sich entscheiden, die Log4J-Bibliothek nicht zu aktualisieren und stattdessen eine der anderen Optionen zur Risikominderung verwenden, ist es wichtig, die Wirksamkeit Ihrer Gegenmaßnahmen zu testen. Dies kann mit Open-Source-Testwerkzeugen erfolgen.

Fazit

Die Log4Shell-Schwachstelle ist eine Sicherheitslücke von großer Tragweite, die von Angreifern leicht ausgenutzt werden kann und weitreichende Folgen für die gesamte Branche hat. Diese Schwachstelle veranschaulicht die Notwendigkeit einer Defense-in-Depth-Strategie, bei der Sicherheitsmechanismen in mehreren Schichten eingesetzt werden. Nur so lässt sich sicherstellen, dass der Ausfall einer einzelnen Schicht nicht zu einer vollständigen Kompromittierung führt.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.