Java-Sicherheitslücke

Log4j - Experten sagen, was jetzt zu tun ist

Die Schwachstelle in der Java-Bibliothek Log4j verunsichert aktuell viele Unternehmen. IT-Security-Experten sagen, welche Schritte unternommen werden müssen.
Von 
CSO | 17. Dezember 2021 10:52 Uhr
Wenn Sie von der Log4j-Sicherheitslücke betroffen sind, sollten Sie nicht gleich in Panik verfallen.
Wenn Sie von der Log4j-Sicherheitslücke betroffen sind, sollten Sie nicht gleich in Panik verfallen.
Foto: Andrey_Popov - shutterstock.com

Eine neue Zero-Day-Sicherheitslücke versetzt Experten und Unternehmen in Alarmbereitschaft: Log4Shell, eine Schwachstelle der weitverbreiteten Java-Logging-Bibliothek Log4j kann aktuell von Angreifern ausgenutzt werden, um Schadcodes in die Systeme von Unternehmen einzuschleusen. Hier einige Tipps, wie Betriebe jetzt reagieren sollten, um das Problem möglichst schnell in den Griff zu bekommen:

  • "Die größte Herausforderung für Organisationen besteht darin, zu identifizieren, ob sie Log4j im Einsatz haben und in welcher Konfiguration", erklärt Sebastian Schmerl, Director Security Services EMEA bei Arctric Wolf.

  • "Zunächst sollten Unternehmen prüfen, ob die von ihnen verwendete Log4j-Version vor dem Release 2.15.0 liegt", führt Jonathan Tanner aus, Senior Security Researcher bei Barracuda Networks. "Sowohl Maven als auch Gradle - beides auf Java basierende Build-Management-Tools - bieten die Möglichkeit, den gesamten Abhängigkeitsbaum für ein Projekt auszudrucken. So lässt sich feststellen, ob eine verwundbare Version von log4j verwendet wird oder nicht." Sehr wichtig sei jedoch, dass auch bei Version 2.15.0 oder höher dafür gesorgt werden muss, dass die Systemeigenschaft formatMsgNoLookups nicht auf 'false' gesetzt ist. Denn diese Version, so betont der Experte, sei nur deshalb nicht verwundbar, weil sie den Standardwert von true auf false gesetzt hat.

  • "In einigen Versionen von log4j lässt sich diese Eigenschaft einfach manuell auf "true" setzen, um die Sicherheitslücke zu entschärfen", ergänzt Tanner. Wenn die Anwendung LDAP (Lightweight Directory Access Protocol) nicht als Teil ihrer legitimen Nutzung benötigt, sei es auch möglich, den gesamten LDAP-Verkehr mit einer Firewall oder einem Web Application Filter zu blockieren. So sollen Remote-Code-Angriffe (RCEs) verhindert werden. Dabei werde jedoch lediglich geprüft, ob log4j in der Lage ist, diese RCE-Schwachstelle auszunutzen oder nicht. Ob ein System wirklich anfällig für einen Angriff sei oder nicht, ist eine viel kompliziertere Angelegenheit.

  • Sebastian Schmerl bei Arctric Wolf empfiehlt: "Unternehmen sollten die Patch-Ankündigungen der Softwarehersteller in Bezug auf CVE-2021-44228 verfolgen, verfügbare Workarounds auf bestätigten anfälligen Systemen implementieren und bestätigte anfällige öffentlich zugängliche Systeme offline nehmen, bis sie gepatcht sind."

Log4j-Gegenmaßnahmen - Tipps im Überblick

Ben Kröger, technischer Leiter des Bereichs Cyber Security bei Axians IT Security, rät Unternehmen dazu, nicht in Panik zu verfallen. "Planlose Handlungen und blinder Aktionismus bringen niemanden weiter. Es gibt schon vereinzelt Angriffe, allerdings kann man davon ausgehen, dass großflächige Exploits der Sicherheitslücke erst noch kommen." Der Security-Experte empfiehlt folgende Maßnahmen:

  1. Stellen Sie sicher, dass Sie eine Sicherung Ihrer Systeme - mindestens - nach der 3-2-1 Backup-Regel eingerichtet und getestet haben.

  2. Auf Herstellermeldungen achten und recherchieren, ob eigene Anwendungen betroffen sind. Bei betroffenen Anwendungen die empfohlenen Patches durchführen.

  3. Wer eigene Systeme entwickelt hat, die Log4j nutzen, sollte sie umgehend auf die Sicherheitslücke überprüfen und andere Nutzer auf mögliche Probleme aufmerksam machen.

  4. Lassen Sie einen Schwachstellenscanner laufen. Das Reporting sollte zeigen, ob Sie betroffen sind.

  5. Auch eine Pentesting-Plattform kann helfen, die Schwachstelle in Ihrem System zu identifizieren.

  6. Solange Sie kein Update vom Hersteller bekommen, können sie auch selbst tätig werden. Das BSI gibt in seinem Leitfaden zur Log4j-Lücke ab Seite drei Tipps dazu. Hierbei handelt es sich jedoch lediglich um Notfallmaßnahmen. Ein offizielles Update ist die bessere Lösung.

  7. Mit einem Endpoint-Detection-and-Response-Virenschutz kann man nachgelagerte Aktionen eines Angriffs erkennen und stoppen. Der Angreifer kann die Schwachstelle zwar ausnutzen, aber dagegen kann man Maßnahmen ergreifen.

  8. Mit einem Security Information and Event Management (SIEM) können Logfiles und Meldungen im System geprüft werden. Auch so lässt sich ein Angriff erkennen und frühzeitig reagieren.

  9. Manipulierte Anfragen erkennen und blockieren kann auch eine Web Application Firewall.

  10. Über ein Intrusion Detection System (IDS)/Intrusion Prevention System (IPS) in der Firewall lässt sich ein Angriff möglicherweise verhindern.

  11. Generell sollte man sich an Security-Grundsätze halten wie: Den Zugriff auf das Internet für Server so weit wie möglich beschränken, Systeme segmentieren und Zugangsberechtigungen nach dem Minimalprinzip vergeben.

  12. Je nach Risikobewertung kann es in Einzelfällen erforderlich sein, den Zugriff auf Systeme einzuschränken oder sie zeitweise abzuschalten, bis eine Lösung gefunden wurde.

Julia Mutzbauer ist Junior Editor bei CSO. Ihr Schwerpunkt ist Security.