Korrigierte Versionen verfügbar

AWS-Patches für Log4Shell enthalten Sicherheitslücken

Die Schwachstelle Log4Shell ist nach wie vor gefährlich. Lösungen, um die Sicherheitslücke zu schließen, gibt es einige. Doch Vorsicht, wenn Sie AWS-Patches dafür verwenden.
Von 
CSO | 21. April 2022 14:07 Uhr
Die Patches, die AWS zum Schließen der Log4j-Sicherheitslücke am 14. Dezember 2021 veröffentlichte, sind nicht sicher. Neue Versionen sind nun verfügbar.
Die Patches, die AWS zum Schließen der Log4j-Sicherheitslücke am 14. Dezember 2021 veröffentlichte, sind nicht sicher. Neue Versionen sind nun verfügbar.
Foto: Andre Boukreev - shutterstock.com

Nachdem im vergangenen Jahr mit Log4Shell eine gravierende Sicherheitslücke in der weit verbreiteten Java-Bibliothek Log4j gefunden wurde, hatte AWS mehrere Hot-Patches veröffentlicht, die anfällige Java-Anwendungen und Java-Container überwachten und sie sofort patchten. Für jede Umgebung hatte Amazon eine eigene Lösung bereitgestellt, die sich nicht auf AWS-Umgebungen beschränkten, sondern in jeder Cloud- oder On-Premises-Umgebung installiert werden konnten. Abdecken konnten Unternehmen mit den Patches Standalone-Server, Kubernetes-Cluster, ECS-Cluster (Elastic Container Services) und Fargate.

Was im ersten Moment für viele Unternehmen hilfreich war, entpuppt sich nun als Risiko. Denn das Analystenteam von Palo Alto, Unit 42, entdeckte schwerwiegende Sicherheitslücken in diesen Patching-Lösungen. Das Team hat sich mit AWS zusammengetan, um die Schwachstellen zu beheben.

Gefahr des Container Escapes

Am 14. Dezember 2021 veröffentlichte AWS das Hot-Patch-Tool, welches Unternehmen bei der Aktualisierung anfälliger Versionen von Log4j helfen sollte. Unit 42 entdeckte jedoch, dass das Tool gefährliche Schwachstellen in seinem Code aufweist: Nach der Installation des Patch-Services auf einem Server oder Cluster können Angreifer jeden Container in dieser Umgebung ausnutzen, um seinen zugrunde liegenden Host zu übernehmen, man spricht hier vom Container Escape.

Ein Container-Escape ist Unit 42 zufolge unabhängig davon möglich, ob Unternehmen Java-Anwendungen ausführen oder ob auf dem zugrundeliegenden Host Bottlerocket, die gehärtete Linux-Distribution von AWS für Container, läuft. Container, die mit User Namespaces oder als Nicht-Root-Benutzer laufen, seien ebenfalls betroffen.

Zudem können Angreifer die fehlerhaften Patches ausnutzen, um ihre Privilegien im System zu erweitern.

Maßnahmen für Nutzer der AWS-Patches

Die Analysten empfehlen Unternehmen dringend ihre Container-Umgebungen daraufhin zu überprüfen, ob sie das anfällige Tool installiert haben. Falls ja, sollten sie den von AWS bereitgestellten Hotfix zeitnah implementieren.

"In Anbetracht der Dringlichkeit von Log4Shell ist es möglich, dass die Hot-Patches in großem Umfang eingesetzt wurden und damit versehentlich alle Arten von Container-Umgebungen gefährdet wurden", heißt es in dem Bericht von Unit 42. "Besonders gefährdet sind mandantenfähige Container-Umgebungen und Cluster, auf denen nicht vertrauenswürdige Images laufen. Palo Alto empfiehlt den Nutzern, so schnell wie möglich auf die jeweils korrigierte Hot-Patch-Version zu aktualisieren."

AWS hat am 19. April für jede der Hot-Patch-Lösungen eine korrigierte Version veröffentlicht:

  • Version 1.1-14 des Pakets log4j-cve-2021-44228-hotpatch, das den Hot-Patch-Service bündelt

  • Version 1.1-14 des kubernetes-log4j-cve-2021-44228-node-agent Daemonset zur Installation des aktualisierten Pakets

  • Version 1.02 von Hotdog, einer Hot-Patch-Lösung für Bottlerocket-Hosts, die auf OCI-Hooks (Open Container Initiative) basiert

Nichtsdestotrotz betont Unit 42, dass Log4Shell sich seinen Namen als "eine der schlimmsten Sicherheitslücken aller Zeiten" zurecht verdient hat und immer noch aktiv ausgenutzt wird. Von Sicherheitslücken wie der in dem AWS-Tool sollten sich Unternehmen nicht einschüchtern lassen, sondern dem Patchen von Log4Shell nach wie vor oberste Priorität einräumen.

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.