Wenn Sie die IT-Nachrichten ein wenig verfolgen, ist Ihnen vielleicht schon aufgefallen, dass immer wieder von einer Sicherheitslücke gesprochen wird: Der Log4Shell-Lücke. Sie wird als die größte Sicherheitslücke aller Zeiten bezeichnet. Aber wer ist davon betroffen? Privatpersonen oder Unternehmen? Oder beide?

In diesem Blogbeitrag werde ich versuchen, all diese Fragen zu beantworten:

Was ist diese Lücke? Was bewirkt diese Sicherheitslücke? Bin ich von dieser Lücke betroffen?

Was ist die Log4Shell-Lücke? Ein Beispiel zum Verständnis

Zum besseren Verständnis der Thematik versuchen wir einmal, die Informatik mit dem Auto zu vergleichen:

Wenn ein Autohersteller ein neues Auto entwirft, stellt er die meisten Teile (Motor, Karosserie etc.) selbst her. Für Zusatzteile beauftragt der Autohersteller zudem auch Zulieferer, wie z. B. für den Tachometer. Der Hersteller baut dann all diese Teile aus der Eigen- und Fremdproduktion zum finalen Auto zusammen. Um Software zu entwerfen und um nicht etwas bereits Vorhandenes neu erstellen zu müssen, greifen Entwickler manchmal auf sogenannte Werkzeugbibliotheken (man könnte auch sagen: Ersatzteile) zurück. Diese Sicherheitslücke befindet sich in einer Bibliothek von Softwaretools, die im Internet sehr häufig vorkommt. Diese Bibliothek wurde von der Apache Foundation entwickelt.

Der Apache http-Server

Die Apache-Stiftung besteht aus einer Gemeinschaft von Menschen auf der ganzen Welt, die kostenlos an der Entwicklung freier und damit kostenloser Software arbeiten (daher der große Erfolg). Ihnen ist unter anderem der Apache http-Server zu verdanken.

Die Apache http-Server sind Webserver. Zur Erinnerung: Webserver (oder http-Server) sind Server, die auf http-Anfragen antworten. Wenn Sie also im Internet surfen, werden die von Ihnen aufgerufenen Seiten von Webservern bereitgestellt.

Es gibt viele verschiedene Modelle von Webservern. Apache http-Server ist mit einem Marktanteil von über 50 % der weltweit am häufigsten verwendete Servertyp. Das heißt, wenn Sie im Internet surfen, besteht eine 50:50-Chance, dass die Seite, die Sie aufrufen, von einem Apache-Server kommt.Es gibt noch andere Webservermodelle und die bekanntesten hinter Apache sind Gninx und IIS (Microsoft).

Die Apache Foundation besteht jedoch nicht nur aus ihrem beliebten Webserver, sondern hat auch zahlreiche Tools entwickelt, die frei und kostenlos zur Verfügung gestellt werden.

Die Schwachstelle

Die Log4Shell befindet sich nicht direkt in dem Bereich, wo die Seiten ausgeliefert werden, sondern in den Mechanismen, mit denen auf dem Server die verschiedenen Ereignisse, die dort stattfinden, aufgezeichnet werden. In der Informatik bezeichnet man die Dateien, in denen die Ereignisse festgehalten werden, als “Log”. Man könnte auch von einem Ereignisprotokoll sprechen.

Hier ein (extrem vereinfachtes) Beispiel-Logs zum Verständnis:

Die Log4Shell befindet sich nicht direkt in dem Bereich, wo die Seiten ausgeliefert werden, sondern in den Mechanismen, mit denen auf dem Server die verschiedenen Ereignisse, die dort stattfinden, aufgezeichnet werden. In der Informatik bezeichnet man die Dateien, in denen die Ereignisse festgehalten werden, als “Log”. Man könnte auch von einem Ereignisprotokoll sprechen.

Hier ein (extrem vereinfachtes) Beispiel-Logs zum Verständnis:

Ereignisprotokoll, die Log-Dateien aufzeichnen

Man sieht, dass hier alle Informationen zu den Ereignissen in einer Log-Datei protokolliert werden.

Es gibt Werkzeugbibliotheken, mit denen diese Logs aufgezeichnet werden können. Im Fall von Apache-Servern ist diese Bibliothek log4j. Und es ist eben genau die log4j Bibliothek, welche die Log4shell-Schwachstelle aufweist.

Die Log4J-Bibliothek

Die von Apache entwickelte Bibliothek Log4J wird in vielen Softwareprogrammenverwendet, da sie frei nutzbar ist.

Meistens handelt es sich dabei um Software, die in Java entwickelt wurde. Java ist eine Entwicklungssprache, die es ermöglicht, die Software auf verschiedenen Umgebungen (Windows, Linux, Mac) laufen zu lassen.

Es ist also nachvollziehbar, dass

diese Bibliothek sehr häufig genutzt wird – sowohl von Apache-Servern als auch von vielen anderen Programmen, die sich auf diese Bibliothek stützen, um die verschiedenen Logs aufzuzeichnen.

Was bewirkt die Log4Shell-Schwachstelle?

Unter Ausnutzung dieser Schwachstelle ist es möglich, aus der Ferne einen Code auf dem betroffenen Server auszuführen.

Die Log-Software ist nämlich so konzipiert, dass sie Informationen empfängt und diese aufzeichnet.

Wenn man anstelle von Informationen Befehle sendet, die ausgeführt werden sollen, zeichnet die Log-Software diese nicht nur auf, sondern führt sie auch aus. Das bedeutet, dass eine böswillige Person Befehle senden kann, die z. B. den Server auffordern, die Liste der Clients zurückzuschicken. Daten könnten somit abgefangen und ausgelesen werden.

Beispiel für die Nutzung der Log4Shell-Schwachstelle

Hier ist ein kleines Beispiel, das zeigt, wie man diese Lücke ausnutzen kann (natürlich werde ich nicht die genauen Befehle angeben, meine Absicht ist es, zu informieren)

  • Sie melden sich auf einer Website an.
  • Diese Seite bietet einen Chatbot (Sie wissen schon, diese kleinen Roboter, die mit Ihnen reden wollen).
  • Und daher wird auf dieser Seite der Log4J-Baustein verwendet, um alles, was Sie sagen oder schreiben, aufzuzeichnen. (z.B. um eine Spur zu behalten und später den Chatbot analysieren und verbessern zu können).
  • Als böswillige Person aber haben Sie schlechte Absichten, also geben Sie statt einer klassischen Konversation andere Befehle ein, die von Log4J als auszuführende Befehle verstanden werden und nicht als Text, der einfach nur gespeichert werden soll.
  • Und das ist das große Problem: Log4J wird diesen Befehl innerhalb des Servers ausführen (Daten löschen, Daten nach außen senden, Schadsoftware installieren, etc.).

Und das alles, ohne dass Sie nach Benutzercodes und Passwörtern gefragt werden.

Ich hoffe, dass Sie anhand dieses Beispiels die Gefährlichkeit dieser Lücke erkennen können.

Behebung der Log4Shell-Lücke

Diese Schwachstelle wurde von den Entwicklern von Apache behoben. Die Folge: Nun müssen Tausende von Computern (Servern) auf der ganzen Welt aktualisiert werden, und das wird natürlich etwas Zeit in Anspruch nehmen. Wenn Sie noch etwas mehr wissen wollen, können Sie die Informationen direkt auf der Apache-Website nachlesen.

Views: 986