Sicherheitslücke in Log4j: Schwachstelle bedroht Weihnachtsgeschäft

Schwachstelle könnte leicht ausgenutzt werden – Proof-of-Concept öffentlich verfügbar

[datensicherheit.de, 15.12.2021] Der durch die „Pandemie“ sowieso schon stark in Mitleidenschaft gezogene Einzelhandel sehe sich gerade im Weihnachtsgeschäft 2021 einer neuen Bedrohung ausgesetzt: Die kritische Schwachstelle, genannt Log4Shell, in der „Java“-Bibliothek „Log4j“ beunruhige seit dem 3. Adventswochenende 2021 Unternehmen und Behörden weltweit. Chris Vaughan, „Area Vice President“, „Technical Account Management“ bei Tanium, führt in seiner Stellungnahme aus: „Auch das BSI schlug bereits Alarm und warnte am Samstag vor einer extrem kritischen Bedrohungslage. Die Behörde hatte schließlich seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe ,Rot‘ hochgestuft, mit der Begründung, dass das betroffene Produkt sehr weit verbreitet sei und somit auch eine Vielzahl weiterer Produkte betreffe.“ Auch habe es aus Bonn geheißen, die Sicherheitslücke könnte leicht ausgenutzt werden, ein „Proof-of-Concept“ sei öffentlich verfügbar. In solchen Fällen könnten Angreifer betroffene Systeme vollständig übernehmen, dem BSI seien weltweit Massen-Scans und versuchte Kompromittierungen bekannt.

Schwachstelle die schlimmste, die Vaughan in seiner bisherigen Laufbahn gesehen hat…

Vaughan betont: „Diese Schwachstelle ist die schlimmste, die ich in meiner bisherigen Laufbahn gesehen habe, was die Anzahl der betroffenen Personen und Organisationen sowie die Schwere der möglichen Auswirkungen angeht.“ In den kommenden Tagen und Stunden werde er mit vielen Unternehmen über die Herausforderungen sprechen, denen sie sich bei der Erkennung und Behebung der Sicherheitslücke gegenübersähen.
Der Online-Handel sei ein Sektor, „der aufgrund der hohen Geldbeträge, die über diese Websites fließen, besonders ins Visier von Angreifern geraten wird“. Der Zeitpunkt des Auftretens dieser Sicherheitslücke sei besonders für diese Unternehmen ungünstig, da sie gerade jetzt, in der geschäftigsten Zeit des Jahres, so kurz vor Weihnachten, dringende Änderungen an ihren IT-Umgebungen vornehmen müssten. „Um die Auswirkungen so gering wie möglich zu halten, sollten sie denselben Rat befolgen, den ich Unternehmen aller Branchen geben würde, nämlich die Sicherheitslücke so schnell wie möglich zu schließen.“ Hierbei sollten sie zuerst mit den nach außen gerichteten Teilen ihrer IT-Infrastruktur beginnen, wie zum Beispiel ihrer Website, „bevor sie sich auf die internen Systeme konzentrieren“, so Vaughan.

Schwachstellen-Management-Tools könnten Log4Shell eventuell übersehen

Ein Fehler, der sich bei der Behebung des Problems in Unternehmen habe beobachten lassen, „ist, dass diese sich zu sehr auf herkömmliche Tools zur Verwaltung von Sicherheitslücken verlassen“. Diese Tools scannten installierte Anwendungen auf Probleme, „aber wenn ein Framework wie ,Log4j‘ umbenannt oder in einem anderen als dem Standardpfad installiert wurde, ist es wahrscheinlich, dass die Schwachstellen-Management-Tools diese übersehen“.
Aus diesem Grund sei es besser, eine Lösung zu verwenden, „die Konfigurationsstrings in Dateien analysiert“. Der Einsatz eines solchen Tools sei eine Möglichkeit, die Bedrohung durch solche Schwachstellen in Zukunft zu minimieren. Eine andere Möglichkeit wäre seiner Meinung nach, „Open-Source-Projekte wie ,Log4j‘ genauer unter die Lupe zu nehmen.“

Open-Source-Tools stärker auf potenzielle Schwachstellen überprüfen!

Diese Frameworks und Tools würden von Tausenden von Unternehmen eingesetzt, aber oft von Menschen in ihrer Freizeit als Hobbyprojekt betrieben. In der Regel sei es unklar, „wie viele Ressourcen für die Aufrechterhaltung von Sicherheitsstandards aufgewendet werden“, aber er glaube, dass Unternehmen dies in Zukunft vor dem Einsatz von „Open Source“-Tools stärker überprüfen würden.
Diese bedauerliche Nachricht sei eine weitere Erinnerung daran, wie wichtig Cyber-Hygiene und Asset-Management seien. „Wenn Unternehmen diese Grundlagen bereitgestellt haben, bevor es zu einem Vorfall kommt, sind sie in einer viel besseren Position, um entweder Schaden zu verhindern oder die Auswirkungen zu minimieren“, sagt Vaughan abschließend.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Kritische Schwachstelle in Java-Bibliothek log4j

datensicherheit.de, 15.12.2021
Log4Shell: Erste Ransomware-Attacken nutzen Schwachstelle aus / Amit Yoran ruft zu dauerhafter Wachsamkeit insbesondere gegenüber Schwachstellen auf

datensicherheit.de, 14.12.2021
Schwachstelle in Log4j: Hohes Risiko des Missbrauchs bereits angegriffener Systeme / Dr. Michael Littger warnt davor, dass noch viele Systeme mangels Update diese Schwachstelle aufweisen und somit ungeschützt vor Angriffen sind

datensicherheit.de, 14.12.2021
Angesichts der Log4Shell-Schwachstelle Aufruf zur Crowdsourced Security / Harmlose und normalerweise unangreifbare Funktion der Protokollierung droht zur Achillesferse des Internets zu werden

datensicherheit.de, 13.12.2021
Log4Shell: Bitkom zur Bedrohungslage durch neue Schwachstelle / Cyber-Kriminelle versuchen bereits aktiv, diese Schwachstelle auszunutzen

datensicherheit.de, 13.12.2021
Apache Log4j mutmaßlich größte und kritischste IT-Schwachstelle des letzten Jahrzehnts / Auch Tenable-CEO Amit Yoran warnt eindringlich vor Schwachstelle in Apache Log4j