Die gesamte Tragweite der Log4J-Sicherheitslücke ist noch immer nicht absehbar. Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die höchste Warnstufe „4/Rot“ ausgesprochen. Die Lücke werde derzeit bereits aktiv ausgenutzt.
Log4J-Lücke: Eine große Gefahr
Die Gefahr durch die Log4J-Lücke (CVE-2021-44228) ist größer als offenbar ursprünglich angenommen. Das weit verbreitete Logging-Werkzeug Log4J ist viel zu leicht zu übernehmen, betroffen sind Minecraft, Kryptominer und viele andere Programme. Die gesamte Reichweite der Sicherheitslücke ist aktuell noch nicht auszumachen.
Anders als bisher angenommen gilt inzwischen auch die Version 1 von Log4J unter bestimmten Umständen als verwundbar für den Angriff, nicht nur Version 2. V1 ist End of Life (EOL) und wird seit einigen Jahren nicht mehr offiziell gepflegt.
Das Unternehmen Cloudflare und andere vergleichen die Log4J-Lücke, mittlerweile auch als Log4Shell bezeichnet, mit Heartbleed oder Shellshock. Möglicherweise ist ein Großteil der Server im Internet bereits betroffen. Sogar das elektronische Anwaltspostfach (BeA) nutzt Log4J und ist betroffen – in Folge dessen ist das Portal derzeit nicht verfügbar.
Das BSI schreibt dazu:
Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.
Die Wahrscheinlichkeit ist groß, dass die mit dieser Schwachstelle in Verbindung stehenden Angreiferaktivitäten in den nächsten Tagen deutlich zunehmen werden.
Log4J: Nachweis ist schwierig
Die Anzahl an Anwendungen, die Log4J nutzen, ist schier unendlich. Gleichzeitig ist es äußerst schwierig herauszufinden, welche Programme Lof4J zwingend voraussetzen. Cloudflare beschreibt in seinem Unternehmensblog beispielsweise, wie man dagegen vorgehen will.
Man habe sämtliche JVM-Instanzen untersucht und herausgefunden, dass seine Instanzen von „Elasticsearch, Logstash und Bitbucket“ verwundbar seien. Mittlerweile sind viele andere Hersteller und Softwareanbieter nachgezogen. Eine Liste auf Github zeigt hingegen einige weitere Anwendungen als auch Webdienste als verwundbar auf.
Log4J wird von den beiden Betreuern Ralph Goers und Gary Gregory offenbar auf Hobby-Basis an den Werkzeug arbeiten, das meldet zumindest die Apache Software Foundation, die das Tool betreut.