Über eine kritische Zero-Day-Sicherheitslücke namens Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4j können Angreifer beliebigen Code ausführen lassen. Betroffen sind etwa Dienste von Apple, Twitter, Steam, Amazon und vermutlich sehr viele kleinere Angebote. Es gibt Proof-of-Concept-Code, der das Ausnutzen der Lücke demonstriert und auch bereits erste Angriffe. Seit Kurzem steht ein Quellcode-Update des Apache-Projekts bereit; Admins sollten dringend aktiv werden. Ein Angreifer kann die Sicherheitslücke ausnutzen, indem er manipulierte Anfragen an einen verwundbaren Server oder eine angreifbare Anwendung schickt. Der Proof-of-Concept-Code (PoC) der Pen-Testing-Gruppe 0x0021h zeigt, dass der Angreifer eine Zeichenkette der Form ${jndi:ldap://127.0.0.1:1389/a} ins Protokoll schreibt. Der Verzeichnisdienst JNDI kontaktiert den genannten LDAP-Server 127.0.0.1:1389 und nimmt schließlich von ihm Daten wie potenziell bösartige Java-Klassen entgegen und führt diese aus. Ein Angreifer müsste demnach einen von ihm kontrollierten Server angeben, um einen Server über das Logging zu kapern (Log4Shell). Die Zero-Day-Lücke Log4Shell hat bereits eine CVE-Nummer erhalten (CVE-2021-44228, Risiko kritisch, CVSSv3 10/10). Sie reißt in zahlreiche Dienste und Anwendungen Sicherheitslücken, die die Log4j-Bibliothek einsetzen. Die Pen-Testing-Gruppe 0x0021h schreibt zu ihrem PoC-Exploit, dass er für Apache Struts2, Apache Solr, Apache Druid, Apache Flink und weitere funktioniere. Ein weiterer Nutzer sammelt in einem github-Projekt verwundbare Dienste und Programme mit Screenshots als Beleg. Darunter sind viele namhafte wie Amazon, Apple iCloud, Cloudflare, Steam oder Twitter. Bei den Anwendungen tauchen unter anderem die von 0x0021h genannten sowie etwa das populäre Minecraft auf. Diverse Sicherheitsforscher berichten über Scans, die nach verwundbaren Diensten suchen und unter anderem das CERT der Deutschen Telekom beobachtet auch bereits erste Angriffe. Betroffen von der Sicherheitslücke ist Log4j von Version 2.0-beta9 bis 2.14.1. Das Apache-Projekt hat kurzfristig Version 2.15.0 veröffentlicht, die die Lücke schließt. In einer Sicherheitsmeldung listen die Apache-Entwickler zudem Maßnahmen auf, wie man die Server ohne Update vorläufig sichern kann. Bei Log4j ab Version 2.10 helfe das Setzen der Systemeigenschaft „log4j2.formatMsgNoLookups“ auf “true” oder das Entfernen der JndiLookup-Klasse aus dem Klassenpfad (etwa mit dem Befehl zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class). Zudem würde Java 8u121 das Ausführen eingschleusten Codes unterbinden, sodass eine Aktualisierung der Java-Umgebung helfen könnte. In Kürze sollten Linux-Distributionen und Apache-basierte Projekte daher aktualisierte Pakete ausliefern, die Administratoren so rasch wie möglich installieren sollten. Die Lücke erinnert an ShellShock: Damals waren viele Server durch eine Sicherheitslücke im Kommandozeileninterpreter Bash kompromittierbar. Einzelne Stimmen hatten darin sogar Wurm-Potenzial ausgemacht, also dass Schadcode automatisch von Server zu Server „kriechen“ könnte.
