Einleitung
Angreifer nutzen aktiv eine Schwachstelle in der Remotecodeausführung aus, die im Protokollierungspaket log4j2 gefunden wurde, dass in den meisten Java-Anwendungen benutzt wird. Ein Programm ist verwundbar, wenn es Benutzereingaben unter Verwendung des log4j2-Pakets protokolliert: die in Java die häufigste verwendete Protokollierungslösung ist. Da Entwickler dazu neigen, fast alles durch Debugging-Zwecken zu protokollieren, werden fast alle Anwendungen Benutzereingaben protokollieren.
Der Angriff
Ein Angreifer muss lediglich eine einzige Textzeile an einer anfälligen Anwendung senden. Sobald die Anwendung diese Textzeile protokolliert, wird die Nutzlast in dem Text vom System abgerufen und ausgeführt. Der Angreifer ist dann in der Lage, aus der Ferne Code auf dem Computer auszuführen, auf dem die Anwendung läuft. Es gibt bereits mehrere Proof-of-Concepts für diesen Angriff im Internet. Die Sicherheitslücke betrifft nicht nur Systeme, die direkt mit dem Internet verbunden sind, sondern auch Backend-Systeme. Wenn Angreifer versuchen, die Schwachstelle auf Webservern auszunutzen, ist es möglich, dass diese Schwachstelle auch auf Backend-Servern auftritt. Wenn einer dieser Backend-Server eine anfällige Java-Anwendung enthält, die Benutzereingaben verarbeitet, könnte dies dazu führen, dass ein Angreifer Code auf Ihren Backend-Servern ausführt.
Anfällige Versionen
Alle Versionen ab 2.0-beta9 bis 2.15 des Pakets log4j2 sind verwundbar. log4j-Versionen 1.x sind es nicht, haben aber seit August 2015 das Ende ihrer Lebensdauer erreicht und sollten daher nicht als sicher angesehen werden.
Milderung
Aktualisieren Sie log4j2 auf Version 2.17.0 oder höher (erfordert Zugriff und Neustart). Versionen für ältere Java-Versionen (6 oder 7) sind auf der Website Apache.org verfügbar.
Wenn Sie Ihre log4j2-Bibliothek nicht aktualisieren können, gibt es einige Abhilfemöglichkeiten. Auf der Apache.org-Website finden Sie hier eine Liste.
Betroffene Produkte
Diese Sicherheitslücke kann Sie in mehreren Bereichen betreffen. Von Ihnen verwendete Produkte können betroffen sein, sowie intern entwickelte und SaaS-Anwendungen in der Cloud. Die meisten großen SaaS-Anbieter haben inzwischen entsprechende Maßnahmen eingesetzt.
Hunderte von Produkten sind durch die Log4Shell-Schwachstelle verwundbar. Zu den betroffenen Anbietern gehören FortiNet, Dell, Apache, Microsoft, N-Able und VMware. Das National Cyber Security Centre (NCSC) der Niederlande hat eine Liste aller betroffenen Software veröffentlicht. Verwenden Sie diese Liste, um festzustellen, ob Ihr Unternehmen anfällige Software verwendet, und wenn ja, stellen Sie sicher, dass Sie sie aktualisieren, sobald ein Update zur Verfügung steht.
Wenn Ihr Unternehmen (oder einer Ihrer IT-Lieferanten) benutzerdefinierte Java-Software entwickelt, z. B. Webanwendungen, prüfen Sie, ob log4j2 in dem Produkt verwendet wird. Wenn ja, sollte die Version von log4j2 auf die neueste Version aktualisiert werden.
Quellen
Log4j overview related software by the NCSC
NCSC advisory (in Dutch)