Angriffsversuche aus dem Darknet: Sicherheitslücke bei Software-Bibliothek „Log4j“ gefährdet Server weltweit

Es dürfte für viele IT-Sicherheitsexperten ein eher kurzes Wochenende gewesen sein: Denn die Sicherheitslücke in der Software-Bibliothek „Log4j“, die am Freitagnachmittag bekannt wurde, wird bereits mit kritischen Lücken wie Shellshock oder Heartbleed verglichen, von denen 2014 hunderte Millionen Systeme im Internet betroffen waren.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stufte die aktuelle Sicherheitswarnung in der Nacht von Samstag auf Sonntag auf die Warnstufe Rot herauf. Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hieß es zur Begründung unter anderem. „Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar.“

[Wenn Sie alle aktuellen Entwicklungen zur Coronavirus-Pandemie live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Die Sicherheitslücke (CVE-2021-44228) kann dafür sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den Servern ausführen können. Damit könnten sie zum Beispiel ihre Schadprogramme dort laufen lassen. Die Schwachstelle ist auf einige Versionen der Bibliothek mit dem Namen Log4j beschränkt. Allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden.

Worin besteht die Gefahr der Sicherheitslücke?

Während die IT-Lücke Verbraucher:innen nicht betrifft, könnte prinzipiell jeder von der Schwachstelle betroffen sein, der einen Server mit einem Online-Dienst betreibt. Denn „Log4j“ ist weit verbreitet. Bei dem Code handelt es sich um eine Protokollierungsbibliothek für Java-Anwendungen. Diese ist Teil einer der der meistverbreiteten Open-Source-Software (Apache), mit der Webserver im Internet betrieben werden. Aber auch viele andere Dienste können prinzipiell so konfiguriert sein, dass sie über die Schwachstelle angreifbar werden.

Schon seit dem Wochenende versuchen Cyberkriminelle, die Schwachstelle aktiv auszunutzen. So meldete etwa das Computer Emergency Rescue Team (CERT) der Deutschen Telekom, man registriere bereits automatisierte Angriffe auf Server mit der entsprechenden Schwachstelle. Diese kämen aus dem Darknet, sagte das CERT-Team auf Twitter.

Das Problem fiel am Donnerstag auf Servern für das Online-Spiel „Minecraft“ auf. Doch auch bei Twitter, Amazon, bei Apples iCloud-Service und bei dem Spiele-Anbieter Steam sollen Cyberkriminelle am Wochenende versucht haben, die Schwachstelle auszunutzen. Für die eigene Cloud-Plattform Azure hat Microsoft bereits am Freitag Empfehlungen für Kunden im hauseigenen Sicherheitsblog veröffentlicht; der australische Software-Anbieter Atlassian (Jira, Confluence, Trello) prüft derzeit, ob eigene Produkte betroffen sein könnten. Die Infrastruktur für das besondere elektronische Anwaltspostfach (beA) war am Wochenende kurzzeitig offline, mittlerweile wurde die Schwachstelle allerdings behoben, meldete der Betreiber.

Auch das BSI ist derzeit noch dabei, Informationen darüber zu sammeln, wo die betroffene Bibliothek derzeit eingesetzt wird. „Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden“, empfahl das Amt den Diensteanbietern.

Auch wer das Update installiert, könnte bereits kompromittiert sein

Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn Dienstebetreiber es installieren. Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten, warnte der IT-Sicherheitsdienstleister Cloudflare.

Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten – zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge gespeichert wird. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzte.

Die IT-Sicherheitsbranche steht damit aktuell in einem Wettlauf mit Online-Kriminellen. Während IT-Admins weltweit überprüfen müssen, ob auf ihren Systemen die verwundbare Version der Logging-Bibliothek läuft, versuchen ihnen Kriminelle zuvorzukommen. „Im Moment liegt die Priorität darauf, herauszufinden, wie weit verbreitet das Problem wirklich ist“, sagt Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. „Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden.“

Angreifer könnten jetzt mit Hilfe der Lücke auch nur unauffällige Hintertüren für sich einbauen, warnte Trost. „Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später.“

Die amerikanische IT-Sicherheitsbehörde CISA bildete bereits am Samstag eine Arbeitsgruppe unter anderem mit der Bundespolizei FBI und dem Geheimdienst NSA. „Diese Schwachstelle birgt ein erhebliches Risiko“, stellte die CISA fest. Sie betonte, dass die Sicherheit der Verbraucher von den Maßnahmen der Diensteanbieter abhängen werde. Mit dpa