Ein Thema macht derzeit überall Schlagzeilen: log4j. Eine Entdeckte Sicherheitslücke wird als „Fukushima-Moment der Softwarewelt“ und ähnlich betitelt. Laien sagt das Ganze nur in den wenigsten Fällen etwas. Allerdings bist auch du möglicherweise betroffen. Wir verraten dir, was log4j beziehungsweise die Log4Shell sind und was genau da überhaupt passiert ist.
log4j einfach erklärt
In Java dient das Framework log4j dem Protokollieren (Loggen) von Anwendungsanmeldungen. Oder anders: log4j ist eine Art Türsteher, der feststellt, wann du eine bestimmte Seite aufrufst oder dich anmeldest. Auf diese Weise lässt sich relativ einfach Protokoll führen. Und eben weil log4j so einfach ist, hat sich das Framework im Laufe der vergangenen Jahre zu einem De-facto-Standard entwickelt.
Obwohl log4j als verlässlicher Vorreiter gilt, ist dieser Türsteher nicht ganz fehlerlos. Logisch: Ein bisschen Dreck hat jeder stecken. Was aber genau ist das Problem?
Loggt das Framework eine Anmeldung, wird diese in einer Protokollierungsbibliothek „notiert“. Problematisch wird es, wenn dein Username beispielsweise einen lesbaren Befehl enthält. Lautet dein Username also nicht „Philipp“ sondern etwa „$ruf_den_server_auf_auf_dem_mein_böser_code_liegt_und_führ_ihn_aus“ – stark vereinfacht – wird log4j kurzerhand kompromittiert.
Was ist schiefgelaufen?
Normalerweise sollte ein Logging-Tool mit einem solchen Angriff zurechtkommen. Umso größer schien die Panik, als die Nachricht der Sicherheitslücke die Runde machte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt die Problematik wie folgt:
„Die Protokollierungsbibliothek dient der performanten Aggregation von Protokolldaten einer Anwendung. Die veröffentlichte Schwachstelle ermöglicht es Angreifenden ab den Versionen 2.10 auf dem Zielsystem eigenen Programmcode auszuführen, was zur Kompromittierung des Zielsystems führen kann.“
Bundesamt für Sicherheit in der Informationstechnik
Die Schwachstelle Log4Shell könne nicht nur zum Nachladen von weiterer Schadsoftware genutzt werden, sondern auch für die Exfiltration vertraulicher Daten. Dafür sei nicht mal das Nachladen von externer Schadsoftwarenotwendig, „sodass diese Ausnutzung mit einer (einfachen) Anfrage durchgeführt werden kann“.
Quellen: eigene Recherche; Bundesamt für Sicherheit in der Informationstechnik