Sicherheitslücke «Log4j» ermöglicht Server-Zugriff

Eine gefährliche Schwachstelle in einer vielbenutzten Server-Software lässt die Alarmglocken bei IT-Experten läuten.

Das Schweizer Zentrum für Cybersicherheit NCSC warnt: «In den vergangenen 48 Stunden haben viele Hersteller Sicherheits-Patches für ihre Produkte veröffentlicht. Wir bitten Organisationen und nationale kritische Infrastrukturen dringend, ihre Softwarelandschaft auf die Verwendung von Log4j zu überprüfen und die entsprechenden Patches so schnell wie möglich einzuspielen.»

Die Schwachstelle steckt in einer oft genutzten Bibliothek für die Java-Software. Die Schwachstelle ist auf einige ältere Versionen der Bibliothek mit dem Namen «Log4j» beschränkt. Allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von «Log4j» genutzt werden.

Das NCSC rät, wenn das Aufspielen von Patches nicht möglich sei, die Systeme vom Internet zu isolieren.

Die Schwachstelle könne für gezielte Angriffe auf nationale kritische Infrastrukturen genutzt werden. Das NSCS habe jedoch bisher keine diesbezüglichen Meldungen erhalten, wie aus einer Mitteilung hervorgeht.

Die beobachteten Angriffsversuche zielten hauptsächlich auf die Verbreitung von Schadsoftware. Diese Botnetze würden in erster Linie für DDoS-Angriffe – damit können Websites lahmgelegt werden – oder zum Mining von Kryptowährungen eingesetzt.

Unsichtbar für die Internet-Nutzer lief am Wochenende ein Wettlauf zwischen IT-Experten und Online-Kriminellen, die automatisiert nach anfälligen Servern suchen lassen. «Im Moment liegt die Priorität darauf, herauszufinden, wie weit verbreitet das Problem wirklich ist», sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. «Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden.»

Besonders heimtückisch: Angreifer könnten jetzt mithilfe der Lücke auch nur unauffällige Hintertüren für sich einbauen, warnte Trost. «Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später.»

Erschwerend kommt hinzu, dass zumindest einige Angreifer möglicherweise mehr Vorlauf hatten als zunächst angenommen. Das Problem wurde öffentlich bekannt, nachdem die Sicherheitslücke am Donnerstag auf Servern für das Online-Spiel «Minecraft» auffiel.

Nachträglich stellte die IT-Sicherheitsfirma Cloudflare allerdings fest, dass schon mindestens seit dem 1. Dezember auf die Sicherheitslücke ausgerichtete Angriffsversuche im Umlauf waren. Allerdings habe es erst zum Wochenende Attacken auf breiter Front gegeben.

Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge auftaucht, zum Beispiel durch eine Nachricht. Damit ist sie eher einfach auszunutzen, was Experten in grosse Sorge versetzte.

Die Schwachstelle rückt auch abermals ein bekanntes Problem der Tech-Industrie in den Mittelpunkt: Open-Source-Software wie Log4j wird von kleinen Programmierer-Teams entworfen und gepflegt, die dafür oft gar nicht bezahlt werden. Dann wird sie aber als kostengünstige Lösung von grossen Unternehmen übernommen.

Open-Source-Software gilt zwar grundsätzlich als sicher, weil ihr Quellcode öffentlich ist und von allen geprüft werden kann - manche Fehler werden dennoch übersehen.