Schwerwiegende Sicherheitslücke „Log4Shell“ in Apache Log4j CVE-2021-44228

Betroffene Produkte

Log4j ist eine Open Source Logging-Lösung, die in enorm vielen Cloud- und Softwarelösungen eingesetzt wird. Von der Lücke sind die Log4j Versionen 2.0-beta9 bis 2.14.1 betroffen.

Eine inoffizielle Liste des Users SwitHak mit bekanntermassen betroffener Software bzw. Rückmeldung der Hersteller zu der Lücke gibt es auf github (s. Weitere Informationen unten).

Angriffsvektor

Risikostufe 1 – Von extern ausnutzbarX
Risikostufe 2 – Aus Firmennetz ausnutzbarx
Risikostufe 3 – Auf lokaler Maschine ausnutzbarx

Art des Angriffs

Remotecodeausführung: über gewisse Lognachrichten, sei es der Name des Gerätes, der Fehlercode, die Uhrzeit oder eine andere protokollierte Zeichenfolge kann Schadcode von externen Servern geladen und ausgeführt werden.

Handlungsempfehlung

Es ist in Zusammenarbeit mit den Herstellern umgehend zu prüfen, welche eingesetzten Produkte Log4j einsetzen und ob eine befallene Version verwendet wird* , befallene Produkte sollten schnellstmöglich mit Sicherheitsupdates vom Hersteller gegen die Lücke geschützt werden. Abhängig vom System kann oder muss Log4j ggf. auch in Eigenregie auf die Version 2.15.0 aktualisiert werden, um die Lücke zu schließen.

Anstelle des Updates gibt es auch den Workaround (s. Weitere Informationen), über das setzen von Systemvariablen das Feature welches die Lücke verursacht abzuschalten.

Wenn beides nicht möglich ist, sollte eine Risikoanalyse durchgeführt und betroffene Systeme wenn möglich isoliert oder heruntergefahren werden. Betroffene Systeme können mit einer Web-Application-Firewall und entsprechenden Regeln zwar theoretisch vor Angriffen geschützt werden, in der Praxis gibt es aber viel zu viele Variationsmöglichkeiten um alle abzudecken. Derartige Schutzmechanismen bspw. von Hosting-Anbietern sind also prinzipiell begrüßenswert, sollten allerdings keine Sicherheit vorgaukeln – ein qualifizierter oder gar gezielter Angriff kann diese sicherlich umgehen.

*Das problematische Feature existiert bereits seit 8 Jahren, daher ist sofern Log4j eingesetzt wird davon auszugehen dass die verwendete Version von der Lücke betroffen ist

Weitere Informationen

Inoffizielle & unvollständige Liste betroffener Software & Hersteller (sowie Feedback nicht betroffener Hersteller):
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Hotfix & Beschreibung des Workarounds von Apache:
https://logging.apache.org/log4j/2.x/security.html

BSI:
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html

CVE:
https://nvd.nist.gov/vuln/detail/CVE-2021-44228

Heise News:
https://www.heise.de/ratgeber/Schutz-vor-schwerwiegender-Log4j-Luecke-was-jetzt-hilft-und-was-nicht-6292961.html