Das Internet ist ein einziger Kriegsschauplatz. Wir erleben so viele Gefahren, dass man gar keine andere Diagnose stellen kann. Die neueste davon heißt log4j. Wenn wir uns so umschauen, was da im Internet derzeit zum Thema erzählt wird, komme ich zu dem Ergebnis, dass sich ziemlich viel Panik breit macht. Was meint ihr? Ist das gerechtfertigt oder nicht? Selbst Software, die man jetzt nicht unbedingt mit der Schwachstelle in Verbindung bringen würde, wird in vorauseilendem Gehorsam lieber abgeschaltet. Und darüber müssen wir reden.
log4j: Was zum Geier?
Die Apache Software Foundation hat da so ein Framework zum Protokollieren von Anwendungsmeldungen in der Programmiersprache Java. Das Ganze nennt sich log4j. Das Ganze wurde zum „De facto-Standard“ in vielen Open Source und kommerziellen Softwareprodukten. Ursprünglich wurde log4j 1996 in einem Forschungslabor von IBM in der Schweiz entwickelt. Das war, als es in Java-Programmbibliothekjen noch keine Mechanismen zum Protokollieren gab.
Heute ist es so, dass das System auf allerlei andere Programmiersprachen adaptiert wurde: C++, PHP, .NET, JavaScript, Perl, Delphi, Python und so weiter und so fort. Mittlerweile wurde das System komplett überarbeitet und nennt sich nun „log4j 2“. Und die aktuelle Version ist die Version 2.15.0 vom 10. Dezember. Offenbar ist damit etwas passiert, das das gesamte Internet in helle Aufregung versetzt. Der Grund ist eine so genannte Zero-Day-Lücke in der Version 2.
Diese Schwachstelle mit der Bezeichnung CVE-2021-44228 wurde Log4Shell getauft. Das ist ein Hinweis darauf, dass beim erfolgreichen Ausnutzen der Lücke in log4j der Zugriff auf eine Shell möglich ist. Das bedeutet, dass Angreifer dann die Möglichkeit haben, jeden beliebigen Systemcode auszuführen. Zero Day dann allerdings deshalb, weil diese Lücke bekannt wurde, bevor es eine Lösung oder einen Patch dagegen gibt.
Well, that escalated quickly
Das ging schnell, wie ich finde. Wir erinnern uns mit Schrecken an so eine Nummer wie Hafnium. Oder halt, da geht auch Solarwinds. Deshalb habe ich doch eingangs etwas davon erzählt, dass das Internet ein Kriegsschauplatz ist. Bei der Lücke in log4j ist es so, dass eine harmlose Anfrage gesendet wird. In dieser sind Daten enthalten, bei denen die Angreifer erwarten, dass der angefragte Server sie in sein Protokoll schreibt.
Das Päckchen wurde also zugestellt. Und während der Server die Daten umwandelt, wird ein Download gestartet. Da das gültige Java-Daten sind, werden diese ausgeführt. Besonders betroffen sind derzeit Apache Server, VMWare Server, UniFi etc. Irgendwo habe ich irgendwas von Minecraft gehört. Und noch einige mehr. Es ist klar, dass dann an uns Fragen gestellt werden, ob auch Systeme wie Exchange Server von der Sicherheitslücke betroffen sind.
Klar ist, dass auch Systeme, die nicht nach extern „funken“, von der Lücke in log4j betroffen sein können. Ganz ehrlich: Im Moment ist das Ausmaß der Verbreitung der log4shell Lücke nicht einmal annähernd bekannt. Die Apache Software Foundation jedenfalls hat angegeben, dass das Problem wohl nicht besteht, wenn man log4j in der Version 2.15.0 installiert hat. Aber wie genau weiß man das? Es ist die aktuelle Version. Aber sonst?
Abhilfe anyone?
Ich gehe felsenfest davon aus, dass die IT-Dienstleister versuchen, das Problem zu lösen. Wie gesagt: Es weiß niemand, ob die Lösung tatsächlich ein schnödes Update ist und welche Systeme davon betroffen sind. Wenn ich mir überlege, welche Protokolle ich für unsere Kunden Tag für Tag auswerte, wird mir schlecht. Wir können eigentlich nur hoffen, dass nichts schlimmeres passiert. Aber sicher sein kann sich im Moment niemand. Für die PowerShell gibt es wohl eine Abhilfe:
[Environment]::SetEnvironmentVariable("LOG4J_FORMAT_MSG_NO_LOOKUPS","true","Machine")Ich kann aber nicht beurteilen, ob dies wirklich weiterhilft. Bei Twitter gibt es dazu eine Aufstellung. Am Ende ist die Lücke in log4j genau das, was wir alle am Ende dieses irren Jahres noch brauchen. Es ist die Kirsche auf der Torte, das i-Tüpfelchen. Jedenfalls gibt es „Alarmstufe Rot“ bei allen möglichen Behörden, wie man so lesen kann. Schauen wir mal, wie das weitergeht.
Immerhin funktioniert die Meldekette. Dank dem BSI schreiben uns unsere Softwarehersteller an, wir sollten doch die Software XYZ abschalten.
Das ist natürlich genau das, was der Vorgesetzte von einem hören will. Aber immerhin, im Vergleich zum allmonatlichen „oh schau, alle Plasterouter und Plastekameras sind seit Jahren defekt“, gibt es hier einen Hang zum Aktionismus.