Die neu aufgefundene Security-Schwachstelle "Log4Shell" in der Log4j-Library von Apache stellt eine der aktuell grössten Bedrohungen für Unternehmen und Organisationen dar. Diese Library wird in einer Unzahl von Applikationen verwendet, und ein grosser Teil aller Unternehmen weltweit dürfte gefährdet sein. Nicht zu Unrecht haben darum Security-Behörden weltweit,
darunter auch das Schweizer NCSC, Alarm geschlagen. Sie rufen Unternehmen und andere Organisationen dazu auf, Software und Systeme umgehend zu patchen, in denen log4j verwendet wird. Sollte dies nicht gehen, sollten Betroffene zumindest Notmassnahmen ergreifen, um die Gefahr zu mindern und ihre Systeme zumindest einigermassen zu schützen.
Aber auch solche Notmassnahmen einzurichten, kann aufwendig sein, weil man von Hand in Systeme eingreifen und mit Nebenwirkungen rechnen muss. Der Security-Dienstleister Cybereason hat deshalb schnell reagiert und einen "Impfstoff" entwickelt, der die Implementierung von Notmassnahmen teilweise automatisieren und damit deutlich vereinfachen soll. Das von Cybereason entwickelte Tool
"Logout4shell" ist auf Github frei erhältlich. Das Tool kann die eigentlichen Schwachstellen nicht beseitigen, soll deren Ausnützung aber stark erschweren.
Ein gutartiger Exploit
Yonatan Striem-Amit, CTO von Cybereason,
erklärt in einem Blogeintrag, dass Logout4Shell die Schwachstelle selbst ausnütze, um dann die Konfiguration des Servers zu ändern. Das Tool sucht nach Eingabefeldern, die verwundbar sind, dringt in die Server ein und verändert die Konfiguration so, dass nichts mehr aus dem Netzwerk heruntergeladen werden kann. Im Prinzip kann man also sagen: Logout4Shell ist selbst ein Exploit, wenn auch ein gutartiger.
Zur Verwendung von Logout4Shell ist ein Neustart der betroffenen Applikation oder des Systems notwendig. Der Vorgang muss zudem nach jedem weiteren Neustart wiederholt werden. Eine permanentere und sicherere Lösung, so Striem-Amit, wäre es, den Server ein entsprechend verändertes Konfigurationsfile speichern zu lassen. Dies sei aber eine problematischere Lösung.
Nur eine Notmassnahme
Cybereason empfiehlt die Anwendung seines "Impfstoffes" nur als schnelle Notmassnahme, bevor betroffene Systeme endgültig gepatcht werden können. Ausserdem kann die Anwendung von Logout4Shell aufgrund von Wechselwirkungen mit anderen Systemen zu unerwarteten Nebenwirkungen führen.
In verschiedenen IT-Medien haben sich renommierte Security-Experten zum Tool von Cybereason geäussert. Ihr Fazit ist meist, dass man Logout4Shell mit einer gewissen Vorsicht anwenden sollte. Zudem sollte man sich auch nach seiner Anwendung nicht in falscher Sicherheit fühlen. Beispielsweise könne es auch für dieses Tool schwierig sein, zuverlässig alle verwundbaren Stellen zu finden, beispielsweise wenn sie tief in der Infrastruktur eines Kunden verborgen seien.