{"id":18193,"date":"2021-12-14T07:30:54","date_gmt":"2021-12-14T06:30:54","guid":{"rendered":"https:\/\/it-service.network\/blog\/?p=18193"},"modified":"2021-12-14T07:49:43","modified_gmt":"2021-12-14T06:49:43","slug":"log4j-sicherheitsluecke","status":"publish","type":"post","link":"https:\/\/it-service.network\/blog\/2021\/12\/14\/log4j-sicherheitsluecke\/","title":{"rendered":"Log4j-Sicherheitsl\u00fccke ## BSI ruft wegen \u201eLog4Shell\u201c Alarmstufe Rot aus"},"content":{"rendered":"

Erneut finden sich Sicherheitsbeauftragte in einem Wettlauf mit Hackern wieder. Grund daf\u00fcr ist eine neu entdeckte Log4j-Sicherheitsl\u00fccke. Das BSI hat die h\u00f6chste Warnstufe ausgerufen.<\/strong><\/p>\n

Wir erkl\u00e4ren, was es mit der Log4j-L\u00fccke (auch: Log4Shell) auf sich hat und warum sie so gef\u00e4hrlich ist.
\n<\/p>\n

\n
Inhaltsverzeichnisexpand_more<\/i><\/div>\n
    \n
  1. BSI: Log4j-Sicherheitsl\u00fccke extrem kritisch<\/a><\/li>\n
  2. Was ist Log4j?<\/a><\/li>\n
  3. Log4j-Sicherheitsl\u00fccke in Software-Produkten<\/a><\/li>\n
  4. Erste Angriffe \u00fcber Log4j-Sicherheitsl\u00fccke<\/a><\/li>\n
  5. BSI: Warnung an Unternehmen<\/a><\/li>\n
  6. IT-Fachleute bieten Unterst\u00fctzung an<\/a><\/li>\n<\/ol>\n<\/div>\n

    BSI: Log4j-Sicherheitsl\u00fccke extrem kritisch<\/h2>\n

    Eine neu entdeckte Log4j-Sicherheitsl\u00fccke<\/strong> schl\u00e4gt hohe Wellen. Warum? Log4j ist eine Bibliothek f\u00fcr die Programmiersprache Java<\/strong> und kommt in zahlreichen Programmen zur Anwendung. Das bedeutet, dass nicht nur die Software Log4j selbst angreifbar ist; vielmehr sind alle Programme, in denen diese Software als Baustein zum Einsatz kommt, bedroht.<\/p>\n

    Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat daher auch Alarmstufe Rot<\/strong> ausgerufen. Diese h\u00f6chste von insgesamt vier Warnstufen besagt, dass eine IT-Bedrohungslage als extrem kritisch<\/strong> einzusch\u00e4tzen ist. Und diese Einstufung ist durchaus berechtigt. Denn: Angreifer k\u00f6nnen \u00fcber die Schwachstelle Schadsoftware einschleusen und IT-Systeme unter Umst\u00e4nden komplett kapern.<\/p>\n

    Erste Hinweise legen nach Informationen des BSI nahe, dass sowohl Cyberkriminelle als auch Sicherheitsforscher mit Massenscans nach anf\u00e4lligen Servern suchen, regelrecht in einem Wettlauf<\/strong> miteinander. Es waren auch schon erste Angriffsversuche<\/strong> zu beobachten, die teilweise wohl erfolgreich waren. Das Ausma\u00df der Bedrohungslage sei aktuell aber noch gar nicht abschlie\u00dfend feststellbar, so das BSI.<\/p>\n

    \"Zu

    Auf Twitter gibt das BSI diese Warnung zur Log4j-Sicherheitsl\u00fccke aus. Bild: Screenshot Twitter<\/p><\/div>\n

    Was ist Log4j?<\/h2>\n

    Bei Log4j (Abk\u00fcrzung f\u00fcr: Logging for Java) handelt es sich um eine Bibliothek f\u00fcr die Programmiersprache Java<\/strong>, die als Projekt der Apache Software Foundation entstanden ist. Es handelt sich dabei um eine Organisation, die Open-Source-Software entwickelt; Ehrenamtliche \u00fcbernehmen anschlie\u00dfend die Pflege dieser Software \u2013 im Fall von Log4j sollen das drei bis sechs Personen sein.<\/p>\n

    Die Log4j-Bibliothek setzt sich aus verschiedenen Bausteinen vorgefertigter Befehle zusammen. Entwickler w\u00e4hlen daraus nach Bedarf Bausteine f\u00fcr ihre Projekte aus und implementieren diese in ihren eigenen Software-Produkten.\u00a0Funktionell konzentriert sich Log4j auf die Protokollierung von Programmaktivit\u00e4ten<\/strong> \u2013 in der Fachsprache wird dies Logging<\/strong> genannt. Das Logging unterst\u00fctzt die Entwickler unter anderem dabei, die zuverl\u00e4ssige Funktion der von ihnen erstellten Programme zu kontrollieren und etwaige Probleme erkennen, nachvollziehen und beheben zu k\u00f6nnen.<\/p>\n

    Allerdings lassen sich auch Eingaben des Benutzers in dieses Protokoll schreiben. Genau hier zeigt sich die Log4j-Sicherheitsl\u00fccke problematisch. Denn: Die Angreifer k\u00f6nnen die Logdatei offenbar dazu nutzen, um auf dem angegriffenen System eigenen Programmecode auszuf\u00fchren<\/strong>.<\/p>\n

    Log4j-Sicherheitsl\u00fccke in Software-Produkten<\/h2>\n

    Entdeckt worden ist die Log4j-Sicherheitsl\u00fccke, die inzwischen auch als \u201eLog4Shell\u201c<\/strong> bezeichnet wird, am 9. Dezember 2021 durch die Sicherheitsfirma LucaSec<\/strong> \u2013 offenbar noch bevor der Anbieter selbst von dieser Schwachstelle wusste. Es handelt sich demnach also um einen Zero Day Exploit<\/a>. Aufgrund der weiten Verbreitung von Log4j sei die L\u00fccke nach Angaben von LucaSec \u201eallgegenw\u00e4rtig\u201c<\/strong>.<\/p>\n

    Laut BSI kommt Log4j in Software-Produkte von mehr als 140 Herstellern<\/strong> zum Einsatz \u2013 und diese sind dementsprechend gef\u00e4hrdet. Ein GitHub-User f\u00fchrt eine Liste von Software-Produkten beziehungsweise Herstellern mit anscheinend belegten F\u00e4llen der Schwachstelle. Auf dieser Liste sind einige gro\u00dfe Namen vertreten \u2013 darunter Apple, Amazon, Tesla, Google, Twitter, LinkedIn, VMWare und Webex. Das erkl\u00e4rt auch, warum das BSI Alarmstufe Rot ausruft.<\/p>\n

    F\u00fcr alle Beteiligten gilt es nun, schnell zu sein: Der Entwickler von Log4j hat schon vorgelegt und ein Sicherheitspatch<\/strong> zur Schlie\u00dfung der L\u00fccke ver\u00f6ffentlicht; jetzt m\u00fcssen die Hersteller, die Log4j in ihren Produkten einsetzen, dringend nachziehen und ihre Produkte anpassen; zuletzt sind Endnutzer aufgerufen, die bereitgestellten Sicherheitsupdates umgehend auszuf\u00fchren.<\/p>\n

    \"Zu

    Auf Twitter machen diverse Memes zur Log4j-Sicherheitsl\u00fccke die Runde. Bild: Screenshot Twitter<\/p><\/div>\n

    Erste Angriffe \u00fcber Log4j-Sicherheitsl\u00fccke<\/h2>\n

    Das Zeit dr\u00e4ngt vor allem deshalb, weil die Log4j-Sicherheitsl\u00fccke l\u00e4ngst aktiv ausgenutzt<\/strong> wird. Cyberkriminelle haben sofort nach Bekanntwerden der Schwachstelle damit begonnen, nach verwundbaren Systemen zu suchen und die L\u00fccke auszunutzen.<\/p>\n

    Scheinbar sind sie damit auch schon erfolgreich: Das BSI berichtet, dass Angreifer bislang vor allem Kryptominer<\/strong> einschleusen konnten; damit kompromittierte Server sch\u00fcrfen in der Folge Kryptow\u00e4hrungen. Auch Botnetze<\/strong> sollen die Log4j-Sicherheitsl\u00fccke bereits ausnutzen. Des Weiteren seien Ausnutzungen zu beobachten, die kein explizites Nachladen eines Schadcodes ben\u00f6tigen, da sie den malizi\u00f6sen Code<\/strong> direkt in der Abfrage enthalten.<\/p>\n

    Wie erfolgreich die Angreifer tats\u00e4chlich sind, l\u00e4sst sich allerdings schwer absch\u00e4tzen.\u00a0Denn: Es ist durchaus m\u00f6glich, dass sie sich aktuell darauf beschr\u00e4nken, unauff\u00e4llige Hintert\u00fcren<\/strong> einzubauen und die eigentlichen Angriffe erst Wochen oder sogar Monate sp\u00e4ter starten.<\/p>\n

    BSI warnt vor allem Unternehmen<\/h2>\n

    Das BSI geht davon aus, dass die Aktivit\u00e4ten der Angreifer in den kommenden Tagen noch deutlich zunehmen werden, und spricht vor allem an Unternehmen eine Warnung<\/strong> aus: Viele Anwendungen, die sie f\u00fcr ihre Gesch\u00e4ftsprozesse einsetzen, k\u00f6nnten durch die Sicherheitsl\u00fccke bedroht sein. Daher r\u00e4t das BSI zu folgenden Ma\u00dfnahmen:<\/strong><\/p>\n