Log4Shell

Sicherheitslücke Log4Shell

Das Ausmaß der Sicherheitslücke Log4Shell, die am 9. Dezember 2021 bekannt wurde, ist noch immer nicht ganz einzuschätzen. Sie zählt zu den schwersten und weitreichendsten Sicherheitslücken der letzten zehn Jahre.

Seit September 2013 existiert diese Schwachstelle und schlummert in unzähligen Java-Apps auf Servern der ganzen Welt, manchen Clients, Routern und WLANs.

Da diese Lücke so lange existiert, dürften ebenfalls etliche Embedded- und IoT-Systeme aus dem Bereich Smart Home betroffen sein.

Was ist Log4Shell?

Der Name der Cyberbedrohung bezieht sich darauf, dass der ausgenutzte Fehler in einer beliebten Java-Codebibliothek namens Log4J (Logging for Java) enthalten ist.

Wenn Hacker diese Lücke ausnutzen, erhalten sie einen sogenannten Shell – also die Möglichkeit, jeden Systemcode ihrer Wahl durchzuführen.

Ein Serverdienst, der aus dem Internet erreichbar ist, genügt vollkommen aus, um Zugang mit Administratorrechten zu erhalten und einen beliebigen Code ausführen zu lassen.

Am 11. Dezember fand das BSI (Bundesamt für Sicherheit in der Informationstechnik) heraus, dass Schadcode bereits in die erste Anfrage eingefügt werden kann.

Daraufhin stufte es die Lücke mit dem höchsten Schweregrad von 10 ein und hat die IT-Bedrohungsstufe Rot ausgerufen.

Angreifer haben ein ausgefeiltes Geschäftsmodell

Hinter den Hackerangriffen steckt ein ausgefeiltes, mehrstufiges Geschäftsmodell. Weltweit gibt es wohl rund 25 professionelle Hackergruppen und sie teilen die Aufgaben: Ist eine Sicherheitslücke bekannt, scannen automatisierte Systeme weltweit Computer auf ihre Verwundbarkeit.

Die gesammelten Ziele werden dann nach Regionen und weiteren Kriterien sortiert und in Paketen versteigert.

Die verkauften Zugänge werden von den Käufern genutzt, um die Daten in fremden Computersystemen zu analysieren und zu entscheiden, an welcher Stelle sich eine Blockade oder ein Diebstahl lohnt.

Dabei wird ein Verschlüsselungstrojaner eingeschleust, welcher wochen- oder monatelang schlummern kann, bis er aktiviert wird. Anschließend verschlüsseln sie die Daten und geben sie nur gegen Lösegeld frei.

Was Anwender jetzt tun können:

Betroffene Systeme müssen identifiziert und umgehend Abwehrmaßnahmen getroffen werden.

Für viele Unternehmen gestaltet es sich jedoch schwierig, festzustellen ob Systeme angegriffen wurden. Antivirusprogramme können nicht wie bei klassischen Schadprogrammen nach Schadcode suchen.

Wurde eine Lücke ausgenutzt, erscheint sie in Logdateien wie eine reguläre Programmfunktion.

Unsere Tipps:

  • Betroffene Stellen ausmachen: IT-Abteilungen sollten Back-ups wiederherstellen von Ende November
  • Ergreifen Sie Abwehrmaßnahmen
  • Untersuchen Sie alle verwundbaren Systeme auf eine Kompromittierung
  • Schließen Sie potentielle Einfallstore
  • Erhöhen Sie Detektions- und Reaktionsfähigkeiten, um die eigenen Systeme überwachen zu können
  • Spielen Sie Updates für einzelne Produkte, sobald diese verfügbar sind: Aktualisieren Sie von Apache auf log4j-2.15, da alle früheren Versionen anfällig sind

Bildquelle: AdobeStock 248539723

Sie finden unseren Blogbeitrag interessant? Teilen Sie ihn jetzt mit Ihren Bekannten.