Wohl keine Sicherheitsschwachstelle hat in den letzten Jahren Sicherheitsexperten und Administratoren rund um den Globus so beschäftigt wie CVE-2021-44228, besser bekannt als Log4Shell-Schwachstelle. Dieser kurze Blog-Artikel gibt eine Einführung in die Problematik, sammelt weiterführende Links und gibt Auskunft darüber, ob unsere Software-Produkte von dieser Schwachstelle betroffen sind.
Das Wichtigste zuerst
Unsere Software-Produkte Enbrea, DaVinci, Magellan, CONFIRE SHOWTIME und CONFIRE SHERLOCK sind alle nicht von der Log4Shell-Schwachstelle betroffen, da keines dieser Produkte Java verwendet oder von einer externen Java-Anwendung abhängig ist. Auch unsere öffentlich zugänglichen Dienste (z.B. Ticketsystem, Webseiten) nutzen alle kein Java.
Was ist ein CVE?
CVE ist eine Abkürzung für Common Vulnerabilities and Exposures (zu deutsch: Bekannte Schwachstellen und Anfälligkeiten). Es handelt sich dabei um eine kuratierte Liste öffentlicher Sicherheitsschwachstellen in IT-Systemen. Ein CVE in Kombination mit einer Nummer kennzeichnet eine bestimmte wohldefinierte Schwachstelle. In unserem Fall ist dies die Schwachstelle CVE-2021-44228. CVE-Nummern dienen vor allem der besseren Kommunikation im IT-Umfeld.
Was ist überhaupt das Problem?
Die Open Source-Bibliothek Log4j der Apache Foundation stellt Funktionen für Java-Anwendungen bereit, um das Protokollieren von Meldungen (z.B. Fehler, Debug-Hinweise, Audit-Einträge etc.) zu implementieren. Dies wird im Englischen als Logging bezeichnet. Nahezu alle größeren Java-Anwendungen nutzen Log4j in der einen oder anderen Form.
Nun hat sich gezeigt, dass Log4j nicht nur einfache Zeichenfolgen protokolliert. Speziell formatierte Zeichenfolgen werden als ausführbarer Code interpretiert und sodann ausgeführt. Genau diese Fähigkeit von Log4j ermöglicht es einem Angreifer, externe Java-Bibliotheken aufzurufen oder Befehle innerhalb der aktuellen Umgebung auszuführen. Man könnte auch sagen, der Angreifer bekommt indirekt Shell-Zugriff (Shell = Kommandozeilen-Schnittstelle), daher der Name Log4Shell.
Diese schwerwiegende Sicherheitslücke wurde am 9.12.2021 öffentlich gemacht. Die Apache Foundation hatte bereits reagiert und das Log4j-Update auf Version 2.15 veröffentlicht. Dieses Update führte prompt zu CVE-2021-45046. Ein weiteres Update zu CVE-2021-45105. Erst der Nachfolger, Version 2.17, gilt als sicher.
Das Problem bleibt trotzdem gigantisch, da nahezu jeder Java-basierte Dienst, der im Internet erreichbar ist, betroffen ist. Diese Systeme müssen alle umgehend aktualisiert oder gepatched werden. Im schlimmsten Fall müssen sie komplett abgeschaltet werden.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat hierzu eine entsprechende Sicherheitswarnung der Stufe Rot veröffentlicht. Das Thema hat es sogar bis in die Tagesschau geschafft.
Was ist zu tun?
Zunächst gilt es, sich zu informieren. Hierzu ein paar Links:
-
Kritische Schwachstelle in Java-Bibliothek Log4j: Die bereits erwähnte Sicherheitswarnung des BSI, welche laufend aktualisiert wird.
-
Sicherheitslücke “Log4Shell” gefährdet Systeme weltweit: Ein Erläuterung der Problematik für Verbraucher. Ebenfalls vom BSI bereitgestellt.
-
Hilfe zur Selbsthilfe Log4Shell: Konkrete Schritte zur Eindämmung von Log4Shell-Sicherheitslücken mit vielen zusätzlichen Links. Wird von der Firma HiSolutions bereitgestellt und laufend aktualisiert.
-
Log4j ChangeLog: Der Änderungshistorie von Log4j.
Und dann ist Handeln angesagt:
-
Die eigene IT muss dahingehend analysiert werden, ob Log4j zum Einsatz kommt. Wenn ja, muss umgehend reagiert werden.
-
Die Nachrichtenlage zu diesem Thema sollte stets aufmerksam verfolgt werden.
-
Wer sich überfordert fühlt, sollte sich um fachmännische Hilfe bemühen.