Die Auswirkungen der berüchtigten Schwachstelle in der Java-Bibliothek Log4j ziehen sich hin. Obwohl das größte Problem mit dem dringenden Patch 2.16 behoben wurde, scheint auch diese Version anfällig für Missbrauch zu sein. Sicherheitsforscher fanden ein Einfallstor für Denial of Service (DoS)-Angriffe. Log4j 2.17 wurde veröffentlicht, um den Eintrag zu schließen.
Apache, Entwickler der Java-Bibliothek, rät Unternehmen, den Notfall-Patch anzuwenden. Dieser Rat gilt zum dritten Mal, seit festgestellt wurde, dass die Bibliothek anfällig ist.
Vor eineinhalb Wochen, Sicherheitsforscher von Alibaba cloud Sicherheitsteam enthüllte eine Methode zum Missbrauch von Anwendungen mit Log4j. Log4j wird in Anwendungen verwendet, um Ereignisse zu protokollieren. Es stellte sich heraus, dass es möglich war, mit der Bibliothek von außen auf Anwendungen mit Anweisungen zum Ausführen von Malware zuzugreifen. Missbrauch dauert kaum mehr als einen Schnappschuss. Fügen Sie dazu das geschätzte Auftreten der Bibliothek in den meisten Unternehmensumgebungen hinzu, und Sie verstehen das Ausmaß der Katastrophe, mit der die globale IT-Landschaft konfrontiert ist.
Softwareentwickler wie Fortinet, Cisco, IBM und Dutzende andere verwenden die Bibliothek in ihrer Software. Ihre Entwickler machten am Wochenende des 11. Dezember Überstunden, um den ersten Notfall-Patch für die Schwachstelle zu verarbeiten und ihn an Benutzerorganisationen zu liefern. Genau die gleiche Tendenz wurde von den IT-Teams in diesen Organisationen erwartet. Weltweit fanden Hunderttausende von Angriffsversuchen statt. Jeder musste so schnell wie möglich auf 2.15 umsteigen – bis sich auch 2.15 als anfällig herausstellte.
Bestimmte Konfigurationen der Bibliothek blieben in Version 2.15 möglich. Durch die Verwendung dieser Konfigurationen wurde die Schwachstelle aufrechterhalten. Version 2.16 machte die Konfigurationen unmöglich und garantierte einen neuen Patch. Oft zum Leidwesen bereits überlasteter IT-Teams. Schlimmer kann es aber immer werden, denn 2.16 hat auch ein Leiden.
Zurück zum Start
Die massive globale Aufmerksamkeit für das Problem führte zu massiven weltweiten Untersuchungen. Apache, Entwickler der Bibliothek, scheint zwei Tage lang nicht zu Atem zu kommen, ohne dass ein Sicherheitsunternehmen auf ein neues, dringendes Problem hinweist.
Kurz gesagt, es stellt sich heraus, dass es möglich ist, Dutzende von Versionen von log4j – einschließlich 2.16 – mit einer Zeile (String) auszuführen, um eine ewige Schleife zu starten, die die Anwendung zum Absturz bringt. Die Bedingungen, die eine Umgebung erfüllen muss, um missbraucht zu werden, sind umfangreich. So umfangreich, dass die praktische Ernsthaftigkeit des Problems bestritten wird. Der Patch wird offiziell empfohlen, aber nicht alle sind überzeugt.
Auch hier ist nicht jede Instanz von Log4j anfällig, sondern nur Fälle, in denen die Bibliothek mit benutzerdefinierten Einstellungen ausgeführt wird. Ein potenzieller Angreifer benötigt außerdem detaillierte Einblicke in die Funktionsweise von Log4j. Ein Kontrast zur anfänglichen, leicht zugänglichen Schwachstelle.