Update vom 15.12.2021 15:15 Uhr
Inzwischen wurde bekannt, dass das Update von Apache Log4j auf Version 2.15.0 einen nur unvollständigen Schutz bietet. Die Entwickler haben mittlerweile Version 2.16.0 der Software veröffentlicht. Der Text wurde entsprechend angepasst. Außerdem wurde ergänzt, dass an Version 2.12.2 für Java 7 noch gearbeitet wird. Wir haben zudem darauf hingewiesen, dass Endanwender auch Updates für weitere Geräte in Betracht ziehn sollten, etwa NAS-Systeme oder Router.
Für die jüngst entdeckte Sicherheitslücke in der weit verbreiteten Java-Anwendung Apache Log4j namens Log4Shell hat das Bundesamt für Sicherheit in der Informationstechnik BSI die höchste Alarmstufe Rot ausgerufen. Über eine Schwachstelle in der Logging-Software lässt sich beliebiger Code direkt auf Rechner einschleusen und ausführen. Betroffen sind unter anderem das Spiel Minecraft, das Frontend UniFi Network Application der WLAN-Verwaltungssoftware Ubiquiti, der Virtualisierungssoftware VMWare oder der Kameraüberwachungssoftware von Cisco wie unter anderem Heise Online und Golem.de berichten.
Wie gefährlich ist die Sicherheitslücke Log4Shell?
Exemplarisch an Minecraft lässt sich die Gefährlichkeit an der Sicherheitslücke in Apache Log4j beschreiben. Sollte ein Minecraft-Server davon betroffen und bereits kompromittiert worden sein, könnten Angreifer von dort alle verbundenen Java-basierte Clients der plattformübergreifende Minecraft: Java Edition ebenfalls mit Schadsoftware infizieren. Möglich wäre so die Verteilung von Ransomware oder Mining- und Bot-Software.
Die Schwachstelle ist auch deshalb so gefährlich, weil sie sich vergleichsweise einfach ausnutzen lässt. Anfällige Versionen von Log4j protokollieren nicht nur Abfragen, sie verarbeiten auch Code, der in diesen Abfragen enthalten ist. So können sich Angreifer mit einfachen Codeschnipseln Zugriff auf Systeme verschaffen.
Wie gefährdet sind Gamer?
Microsoft hat in aller Eile die Version 1.18.1 von Minecraft veröffentlicht. Es genügt das Spiel zu beenden und neu zu starten. Der Loader installiert dann automatisch die bereinigte Variante. Im Taskmanager lässt sich möglicherweise feststellen, ob bereits Schadsoftware installiert worden ist, etwa wenn unbekannte Anwendungen eine ungewöhnlich hohe Last verursachen.
Entwarnung gibt es indes wohl bei Steam. Sicherheitsforscher hatten zwar entdeckt, dass Apache Log4j in einer anfälligen Version auf Steam-Servern läuft. In einem Thread bei Reddit wies der Valve-Angestellte JonP jedoch darauf hin, dass die Sicherheitsrichtlinien des Steam-Netzwerks grundsätzlich das Ausführen von Code in dieser Form verhindere und die Infrastruktur somit sicher sei. Der Steam-Client sei ohnehin nicht betroffen, er nutze das Einfallstor Log4j nicht.
Grundsätzlich stehen entgegen erster Meldungen aber wohl weniger Endanwender im Fokus als IT-Infrasturkturen großer Firmen. Das legen Daten aus diversen Honeypots nahe, die Anfragen aus dem Internet in einer gesicherten Umgebung abfangen und analysieren.
Wer ist denn von Log4Shell besonders gefährdet?
Anhand ähnlicher Massenscans von Sicherheitsexperten wird eine Liste anfälliger Systeme gepflegt, die es in sich hat. Neben Steam sind dort illustre Namen wie Twitter, Amazon, Apple Google, IBM und Tesla zu finden. Inwieweit Server dieser Unternehmen tatsächlich kompromittiert worden sind, ist gegenwärtig kaum abschätzbar. Professionelle Datendiebe werden angreifbare Systeme wohl zunächst nur infiltrieren, um sie zu einem späteren Zeitpunkt für weitere Angriffe zu verwenden. Das Fatale an der Log4Shell-Lücke ist jedoch, dass Log4j massenweise eingesetzt wird, oft ohne Wissen der Systemadministratoren. Für sie dürften es unruhige Tage werden.
Gibt es schon ein sicheres Update von Log4j?
Ja. Das Apache-Projekt hat bereits Version 2.16.0 für Java 8 veröffentlicht, in der das Problem behoben wurde. Für Java 7 ist Version 2.12.2 in Arbeit. Das Projekt gibt dort auch Tipps, wie Angriffe abgewehrt werden können. Sie sind für diejenigen gedacht, die nicht sofort die sichere Version von Apache Log4j installieren können. Auf Github gibt es den log4j-detector für Windows, Linux und macOS, der auch nicht sofort erkennbare Instanzen von Apache Log4j aufspürt und warnt, wenn es sich um eine unsichere Version handelt. Jeder, der Java-Anwendungen verwendet, sollte in den nächsten Tagen auf Updates achten. Das gilt nicht nur für PCs, sondern auch für NAS-Systeme und Router. Mobile Geräte sind bislang nicht betroffen.
- Lesedauer 4 min