Logging-Bibliothek Log4j

Kritische Sicherheitslücke in Server-Software entdeckt

13.12.2021
Unsichtbar für die Internet-Nutzer spielte sich am Wochenende ein Wettlauf zwischen IT-Experten und Online-Kriminellen ab.
Eine frisch entdeckte Sicherheitslücke kann Angreifern einfachen Zugriff auf Server gewähren. Wie weit sie verbreitet ist, war zunächst unklar.
Foto: whiteMocca - shutterstock.com

IT-Sicherheitsexperten schlagen Alarm wegen einer Schwachstelle, die auf breiter Front Server im Netz bedroht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte am Samstag, den 11. Dezember 2021, seine Warnstufe zu der Sicherheitslücke von Orange auf Rot hoch. Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hieß es zur Begründung unter anderem. "Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar."

Die Schwachstelle steckt in einer vielbenutzten Bibliothek für die Java-Software. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den Servern ausführen können. Damit könnten sie zum Beispiel ihre Schadprogramme dort laufen lassen. Die Schwachstelle ist auf einige Versionen der Bibliothek mit dem Namen Log4j beschränkt. Allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden.

Updates umgehend installieren

"Aktuell ist noch nicht bekannt, in welchen Produkten diese Bibliothek eingesetzt wird, was dazu führt, dass zum jetzigen Zeitpunkt noch nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind", schränkte das BSI ein. "Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden", empfahl das Amt den Diensteanbietern.

Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge gespeichert wird. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzte. Das Problem fiel am Donnerstag auf Servern für das Online-Spiel "Minecraft" auf.

Wettlauf mit Online-Kriminellen

IT-Sicherheitsfirmen und Java-Spezialisten arbeiteten am Wochenende daran, die Schwachstelle zu stopfen. Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn Dienstebetreiber es installieren. Deshalb baute der Firewall-Spezialist Cloudflare für seine Kunden einen Mechanismus ein, der Angriffe blockieren soll. Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten, betonte Cloudflare.

Die IT-Sicherheitsbranche sah einen Wettlauf mit Online-Kriminellen, die ihrerseits automatisiert nach anfälligen Servern suchen lassen. "Im Moment liegt die Priorität darauf, herauszufinden, wie weit verbreitet das Problem wirklich ist", sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. "Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden." Angreifer könnten jetzt mit Hilfe der Lücke auch nur unauffällige Hintertüren für sich einbauen, warnte Trost. "Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später." (dpa/rs)

Update:

Am Montag den 13. Dezember 2021 untermauerte BSI-Präsident Arne Schönbohm die Dringlichkeit zum Handeln. Unternehmen und Behörden sollten so schnell wie möglich Updates durchführen. Kriminelle seien sehr aktiv. "Wir sehen jetzt schon einen massenhaften Scan." Es finde ein Wettrennen zwischen Angreifern und Verteidigern statt. "Es sind nicht die gezielten Angriffe, sondern es geht darum, flächendeckend dort hineinzukommen und das auszunutzen, so dass man dann drin ist und andere Hintertüren installieren kann, bevor diese Lücke geschlossen ist." Diese Hintertüren könnten die Kriminellen dann noch lange ausnutzen. Neben den Updates empfahl er den Unternehmen und Behörden, bestimmte Funktionalitäten zu unterbinden, "wodurch die Angriffsmöglichkeit deutlich geringer ist".

Auf die Frage, wie viele Firmen denn betroffen seien, sagte Schönbohm: "Das kann man noch nicht sagen, wir sind in einer Phase der Aufbereitung." Seine Behörde stehe im Kontakt mit IT-Sicherheitsbehörden anderer Staaten, etwa von den Niederlanden, Frankreich und auch der USA. Er bestätigte, dass bereits Angriffsversuche stattgefunden hätten, wollte aber keine Einzelheiten nennen. (dpa/rw)

Evgeny Lopatin, Sicherheitsexperte bei Kaspersky, kommentiert die Lage wie folgt: „Diese Schwachstelle ist nicht nur besonders gefährlich, weil Angreifer die vollständige Kontrolle über das System erlangen können, sondern weil sie sich auch besonders einfach ausnutzen lässt – sogar ein unerfahrener Hacker kann davon profitieren. Wir sehen bereits, dass Cyberkriminelle aktiv nach Software suchen, die sie mit dieser Schwachstelle ausnutzen können. Die gute Nachricht ist jedoch, dass eine starke Sicherheitslösung zum Schutz der Nutzer beitragen kann.“ (rw)