Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
32 LANline 2 2022 www lanline de Schwerpunkt Security Log4j-Schwachstel le Log4Shell Jackpot für Kriminelle Dutzende Bausteine türmen sich zur komplexen Maschinerie Diese ruht links auf einem soliden Fundament rechts aber stützt nur ein einzelnes dürre Bauklötzchen das ganze Gebilde Die Maschine ist laut Überschrift „jede moderne IT-Infrastruktur“ der wackelige Stützklotz hingegen „ein Projekt das irgendjemand aus Nebraska seit 2003 unbedankt pflegt“ An die - sen Cartoon-Klassiker des Kultautors Randall Munroe [1] fühlten sich viele kürzlich erinnert Denn in Log4j einem in Cloud-Services Unternehmensapplikationen und IT-Gerätschaft gern genutzten Open-Source-Baustein fand sich eine Sicherheitslücke – noch dazu eine kritische die Angreifer leicht ausnutzen können Die „Log4Shell“ getaufte Lücke ist laut Amit Yoran CEO des Security-Anbieters Tenable „die größte und kritischste Schwachstelle des letzten Jahrzehnts“ Deshalb sorgt die offiziell als CVE-2021-44228 bezeichnete Schwachstelle in der Log4j-Bibliothek der Apache Foundation seit Ende November für Aufregung in IT-Kreisen Dank ihr so warnen Fachleute können nichtauthentifizierte Akteure Java-Anwendungen angreifen die für das Logging die Log4j-Bibliothek verwenden und dann beliebigen Code inklusive Schadcode ausführen Remote Code Execution RCE Besonders bedenklich Die Sicherheitslücke in der JNDI-Komponente Java Naming and Directory Interface des LDAP-Connectors von Log4j ist laut Evgeny Lopatin einem Sicherheitsexperten bei Kaspersky „besonders einfach“ auszunutzen Nicht umsonst erhielt sie eine CVSS-Kritikalitätseinstufung Common Vulnerability Scoring System mit dem Maximalwert 10 0 Laut Ciscos Security-Truppe Talos lag die Lücke bei ihrem Auftreten zudem auf der Kenna-Risikoskala bei 93 von 100 – also außergewöhnlich hoch Der Kenna Risk Score fasst die potenziellen Auswirkungen einer Lücke und damit deren Eignung für einen Angriff in einen Zahlenwert Laut Talos haben von den 165 000 Sicherheitslücken die Kenna Security je erfasst hat nur 0 39 Prozent einen Wert von 93 oder höher Und hierzulande warnte das BSI die Log4j-Schwachstelle führe zu einer „extrem kritischen Bedrohungslage“ [2] Was ist passiert? Den zeitlichen Ablauf hat Talos in einem Blog-Post zu Log4Shell übersichtlich aufbereitet Das Security-Team von Alibaba Cloud entdeckt die RCE-Schwachstelle in der – mit über 400 000 Downloads weit verbreiteten – Java-Logging-Bibliothek am 24 11 21 und meldet sie an Apache Doch bereits am 30 11 also noch bevor Apache sie patchen kann kommt sie ans Licht der an solchen Dingen interessierten Öffentlichkeit – und schon am 1 12 gibt es erste Berichte dass Angreifer die Lücke ausnutzen was Talos am Folgetag dann auch selbst beobachtet