Definition Log4Shell | Log4j Was ist Log4Shell (Log4j-Schwachstelle)?

Anbieter zum Thema

Arctic Wolf Networks Germany GmbH

Eye Security GmbH

Log4Shell ist die Bezeichnung für eine Ende 2021 bekannt gewordene Zero-Day-Sicherheitslücke. Sie basiert auf einer Injektionsschwachstelle in dem für viele Services und Produkte verwendeten Java-Logging-Framework Log4j. Das BSI stufte das durch die Sicherheitslücke verursachte Risiko mit dem höchstmöglichen Wert ein. Angreifer können über die Injektionsschwachstelle fast beliebigen Code auf den betroffenen Systemen ausführen.

Log4Shell ist eine am 10.12.2021 veröffentlichte schwerwiegende Zero-Day-Sicherheitslücke (CVE-2021-44228) im beliebten und für viele Services und Produkte eingesetzten Logging-Framework für Java Log4j. Bereits wenige Tage nach der Veröffentlichung wurde die Log4Shell-Schwachstelle von Kriminellen ausgenutzt. Die Sicherheitslücke war seit 2013 vorhanden und blieb bis 2021 unentdeckt. Die Softwareversionen von 2.0-beta9 bis 2.14.1 hatten eine Injektionsschwachstelle, die es Angreifern erlaubte, fast beliebigen Code auf den betroffenen Systemen auszuführen. Nach Schätzungen waren weltweit hunderte Millionen Geräte von der Log4Shell-Schwachstelle betroffen. Da die Sicherheitslücke bereits am 24.11.2021 an die Apache Foundation gemeldet wurde, war mit der am 9.12.2021 veröffentlichten Log4j-Version 2.15.0 ein erster Patch der Software verfügbar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stufte das durch Log4Shell verursachte Risiko auf der CVSS-Skala mit dem höchstmöglichen Wert 10 ein. Noch immer sind weltweit viele Systeme nicht gepatcht und nach wie vor von der Sicherheitslücke betroffen.

Grundsätzliches zu Log4j

Log4Shell basiert auf einer Injektions­schwachstelle im beliebten Open-Source-Java-Logging-Framework Log4j. Log4j wird in vielen kommerziellen oder Open-Source-basierten Softwareprodukten und Services eingesetzt. Das Framework ist ein Projekt der Apache Software Foundation und erlaubt die Weiterleitung von Info- oder Fehlermeldungen entsprechend der Wichtigkeit der Meldung an ein ausgewähltes Logging-System. Log4j steht unter Apache-Lizenz 2.0 und ist Teil vieler Produkte und Services bekannter Unternehmen wie Amazon, Apple, Twitter, Microsoft, Tesla und vieler mehr.

Technische Details der Schwachstelle

Log4Shell nutzt eine Schwachstelle im Java Naming and Directory Interface (JNDI) aus. Über diese Schwachstelle lässt sich bösartiger Remote-Code auf einem betroffenen System ausführen, indem der Angreifer manipulierte Payloads in Protokollnachrichten einfügt. Angreifer können Pfade zu bösartigem Code in ihre Nachrichten schreiben. Log4j interpretiert die manipulierten Nachrichten nicht als einfachen Text, sondern als Java-Objekte, lädt den bösartigen Code über JNDI zur Laufzeit aus dem Netz nach und führt ihn mit Admin-Rechten aus. Im schlimmsten Fall kann ein Angreifer das System vollständig übernehmen. Ein Angriff lässt sich sehr einfach bewerkstelligen, da nur bestimmte Zeichenketten beispielsweise über eine Web-Anfrage, E-Mail, SMS, oder Chat-Nachricht an den Server geschickt werden müssen.

Mögliche Folgen der Sicherheitslücke in Log4j

Die Schwachstelle ist sehr gefährlich, da sie sich einfach ausnutzen lässt. Angreifer können unbefugt Code auf fremden Systemen ausführen. Die angegriffenen Systeme werden kompromittiert und lassen sich im schlimmsten Fall komplett übernehmen. Angreifer sind in der Lage, Daten zu kopieren, zu manipulieren oder zu löschen. Die Log4Shell-Schwachstelle lässt sich beispielsweise nutzen, um Schadsoftware wie Ransomware zu installieren, Daten zu verschlüsseln, illegales Cryptomining zu betreiben, Backdoors zu installieren, Services zu deaktivieren und vieles mehr. Zur Abwehr solcher Angriffe ist die Installation einer aktuellen Log4j-Version unverzichtbar. Zusätzlich lassen sich weitere Schutzmaßnahmen wie die Implementierung eines Intrusion Detection/Prevention Systems (IDS/IPS) ergreifen.

(ID:48528263)