Am vergangenen Donnerstag wurde bekannt, dass in der Java-Bibliothek Log4j eine kritische Schwachstelle existiert. Diese vorher noch unbekannte, "Log4Shell" genannte Schwachstelle wird laut Berichten von Cloudflare und anderen mindestens seit Anfang Dezember von Hackern aktiv ausgenützt. Wenn die Lücke erfolgreich ausgenützt werden kann, erlaubt sie es Hackern, auf betroffenen Systemen eigenen Code auszuführen und diese komplett zu übernehmen.

Anfänglich waren von Microsoft betriebene Server für das Spiel Minecraft das Angriffsziel, was wohl einige potenziell gefährdete Unternehmen dazu veranlasst hatte, das Problem auf die leichte Schulter zu nehmen.

Allerdings hat sich, nachdem die Existenz der Schwachstelle allgemein bekannt wurde, die Zahl der Scans, mit denen Hacker im Internet nach verwundbaren Systemen suchen, massiv erhöht und die Angriffe sind auf viele andere Systeme ausgeweitet worden.

Das schweizerische Nationale Zentrum für Cybersicherheit (NCSC) hat heute einen Blogeintrag zum Thema veröffentlicht (vorerst nur auf Englisch). 

Für die betroffene Java-Bibliothek Log4j gibt es seit Freitag, dem 10. Dezember, ein Sicherheits-Update. Das NCSC ruft alle Unternehmen und Organisationen dazu auf, sofort alle Systeme, die mit dem Internet verbunden sind, zu patchen. Für interne Systeme solle man dies danach so schnell wie möglich nachholen.

Systeme, die nicht gepatcht werden können, so das NCSC, sollten vom Internet getrennt werden oder zumindest sollte man die von Anbietern empfohlenen Notmassnahmen ergreifen.

Um alles Notwendige zu tun, müssen Organisationen aber zuerst einen Überblick darüber gewinnen, welche der von ihnen verwendeten Systeme und Software-Lösungen Log4j verwenden. Da dies ein zeitraubender Prozess sein könne, rät das NCSC, sollte man möglichst umgehend damit beginnen.

Die Schwachstelle, so warnt das NCSC eindringlich, könnte dazu benützt werden, um kritische Infrastrukturen in der Schweiz anzugreifen, auch wenn man bisher noch keine dahingehenden Berichte erhalten habe. Bei den bisher vom NCSC beobachteten Angriffen hätten die Hacker versucht, Malware wie Mirai, Kinsing und Tsunami zu installieren. Kinsing ist ein Cryptominer, die Mirai- und Tsunami-Botnetze werden meistens für DDoS-Attacken verwendet.

Das NCSC hat bereits aktiv Massnahmen ergriffen. Nachdem der Patch veröffentlicht wurde, habe man sofort die Betreiber von nationaler kritischer Infrastruktur dazu aufgerufen, diesen so schnell wie möglich einzuspielen. Übers Wochenende sei man permanent in Kontakt mit nationalen und internationalen Partnern gestanden. Die so gesammelten Informationen sowie die eigenen Sensoren hätten es dem NCSC ermöglicht, eine grosse Zahl von angreifbaren Geräten in der Schweiz durch Notmassnahmen zu schützen. Zudem habe man damit begonnen, die Betreiber von über das Internet erreichbaren Log4j-Instanzen direkt zu warnen.

Dass der Sicherheitslücke Log4Shell der höchstmöglich Gefährlichkeitswert 10 zugeordnet wurde, zeige allein, wie schwerwiegend das Problem sei, so das NCSC. Allerdings sei es schwierig einzuschätzen, wie stark ein individuelles System bedroht sei. Grundsätzlich sind alle Log4j-Versionen 2.0 und 2.14.1 betroffen.

Auch wenn eine bestimmte Lösung im Prinzip verwundbar sei, heisse dies allerdings noch nicht automatisch, dass Angreifer diese tatsächlich ausnützen könnten. Das hänge von einer Reihe von Umständen ab, beispielsweise welche Java Virtual Machine (JVM) verwendet werde und welche Konfigurationseinstellungen vorgenommen wurden, so das NCSC.

Das grosse Problem an Log4Shell ist, dass Log4j von sehr vielen Java-basierten Anwendungen verwendet wird, und es daher kaum Unternehmen oder Organisationen gibt, die nicht zumindest potenziell verwundbar sein könnten.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einer "extrem kritischen Bedrohungslage" und hat am 11. Dezember seine Bedrohungseinschätzung auf die höchste Stufe "rot" erhöht. Der Grund dafür sei nicht nur die sehr weite Verbreitung des betroffenen Produkts selbst, sondern auch die damit verbundenen Auswirkungen auf unzählige weitere Produkte. Die Schwachstelle sei zudem einfach ausnutzbar und ein Proof-of-Concept sei öffentlich verfügbar. Dem BSI seien welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen seien bereits gemeldet worden.

Mit dem Einspielen der vorhandenen Patches sei die Aufgabe für Benutzer noch nicht getan, führt das BSI aus. Es müssten auch alle Produkte, die Log4j verwenden, angepasst werden. Welche Produkte verwundbar sind und für welche es bereits Updates gibt, sei derzeit nicht vollständig überschaubar und müsse daher im Einzelfall geprüft werden. Es sei zu erwarten, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt werden.