Das Ausmaß der Sicherheitslücke Log4Shell, die am 9. Dezember 2021 bekannt wurde, ist noch immer nicht ganz einzuschätzen. Sie zählt zu den schwersten und weitreichendsten Sicherheitslücken der letzten zehn Jahre.
Seit September 2013 existiert diese Schwachstelle und schlummert in unzähligen Java-Apps auf Servern der ganzen Welt, manchen Clients, Routern und WLANs.
Da diese Lücke so lange existiert, dürften ebenfalls etliche Embedded- und IoT-Systeme aus dem Bereich Smart Home betroffen sein.
Der Name der Cyberbedrohung bezieht sich darauf, dass der ausgenutzte Fehler in einer beliebten Java-Codebibliothek namens Log4J (Logging for Java) enthalten ist.
Wenn Hacker diese Lücke ausnutzen, erhalten sie einen sogenannten Shell – also die Möglichkeit, jeden Systemcode ihrer Wahl durchzuführen.
Ein Serverdienst, der aus dem Internet erreichbar ist, genügt vollkommen aus, um Zugang mit Administratorrechten zu erhalten und einen beliebigen Code ausführen zu lassen.
Am 11. Dezember fand das BSI (Bundesamt für Sicherheit in der Informationstechnik) heraus, dass Schadcode bereits in die erste Anfrage eingefügt werden kann.
Daraufhin stufte es die Lücke mit dem höchsten Schweregrad von 10 ein und hat die IT-Bedrohungsstufe Rot ausgerufen.
Hinter den Hackerangriffen steckt ein ausgefeiltes, mehrstufiges Geschäftsmodell. Weltweit gibt es wohl rund 25 professionelle Hackergruppen und sie teilen die Aufgaben: Ist eine Sicherheitslücke bekannt, scannen automatisierte Systeme weltweit Computer auf ihre Verwundbarkeit.
Die gesammelten Ziele werden dann nach Regionen und weiteren Kriterien sortiert und in Paketen versteigert.
Die verkauften Zugänge werden von den Käufern genutzt, um die Daten in fremden Computersystemen zu analysieren und zu entscheiden, an welcher Stelle sich eine Blockade oder ein Diebstahl lohnt.
Dabei wird ein Verschlüsselungstrojaner eingeschleust, welcher wochen- oder monatelang schlummern kann, bis er aktiviert wird. Anschließend verschlüsseln sie die Daten und geben sie nur gegen Lösegeld frei.
Betroffene Systeme müssen identifiziert und umgehend Abwehrmaßnahmen getroffen werden.
Für viele Unternehmen gestaltet es sich jedoch schwierig, festzustellen ob Systeme angegriffen wurden. Antivirusprogramme können nicht wie bei klassischen Schadprogrammen nach Schadcode suchen.
Wurde eine Lücke ausgenutzt, erscheint sie in Logdateien wie eine reguläre Programmfunktion.
Bildquelle: AdobeStock 248539723