Angesichts der Log4Shell-Schwachstelle Aufruf zur Crowdsourced Security

Harmlose und normalerweise unangreifbare Funktion der Protokollierung droht zur Achillesferse des Internets zu werden

[datensicherheit.de, 14.12.2021] „Log4Shell“, eine kritische Zero-Day-Sicherheitslücke der weitverbreiteten „Java“-Logging-Bibliothek „Log4j“, beschäftigt aktuell die IT-Sicherheitswelt, denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu die höchste Warnstufe („Rot“) ausgerufen. IT-Sicherheitsexperten versuchen nun mit Hochdruck, ihre Systeme mithilfe der inzwischen bekannten Informationen und erster Updates abzusichern. Dieser über ein „Bug Bounty“-Programm aufgedeckte Softwarefehler sei bereits als „kritischste Sicherheitslücke des letzten Jahrzehnts“ eingestuft worden, denn diese Schwachstelle sei in einem Open-Source-Protokollierungstool aufgedeckt worden, welches in „Cloud“-Servern und Unternehmenssoftware allgegenwärtig sei, so Phil Leatham, „Senior Account Executive“ bei YesWeHack Deutschland, in seiner aktuellen Stellungnahme – darin ruft er gerade in diesen Zeiten zu mehr „Crowdsourced Security“ auf.

Foto: privat

Phil Leatham: Das größte Risiko kann auch von Komponenten ausgehen, bei denen man dies am wenigsten erwartet…

Schwachstelle Log4Shell erinnert daran, dass moderne Computersysteme aus Tausenden Komponenten bestehen

„Die Schwachstelle ,Log4Shell‘ erinnert uns daran, dass jedes moderne Computersystem aus Hunderten und Tausenden von Komponenten besteht. Das größte Risiko kann dabei auch von denjenigen Komponenten ausgehen, bei denen man dies am wenigsten erwartet hätte. Unabhängig davon, ob es sich um Open-Source- oder Closed-Source-Software handelt“, erläutert Leatham.
In diesem speziellen Fall erweise sich ausgerechnet eine Komponente, die von fast allen Systemen – oft ohne es zu wissen – für eine so harmlose und normalerweise „unangreifbare“ Funktion wie die Protokollierung verwendet werde, als „Achillesferse des Internets“.

Schnelle Mobilisierung der Sicherheitsgemeinschaft, um katastrophalen Auswirkungen der Schwachstelle zu begegnen

Doch wieder einmal habe die schnelle Mobilisierung der Sicherheitsgemeinschaft, um betroffene Systeme zu identifizieren und Lösungen zu finden, „uns in die glückliche Lage versetzt, die potenziell katastrophalen Auswirkungen einer solchen Schwachstelle zu verringern“.
Um das erneute Auftreten ähnlicher Risiken zu verhindern, wird es laut Leatham „immer notwendiger, diese Gemeinschaft und insbesondere die Community der ethischen Hacker stärker zu nutzen“. Dies könne Unternehmen dabei helfen, ihre Sicherheitsgrenzen zu schützen und, was noch wichtiger sei, „ihr Netzwerk in Echtzeit zu überwachen“. So könnten sie eventuelle Korrekturen vornehmen, „bevor ein böswilliger Akteur davon profitiert“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Kritische Schwachstelle in Java-Bibliothek log4j

datensicherheit.de, 14.12.2021
Schwachstelle in Log4j: Hohes Risiko des Missbrauchs bereits angegriffener Systeme / Dr. Michael Littger warnt davor, dass noch viele Systeme mangels Update diese Schwachstelle aufweisen und somit ungeschützt vor Angriffen sind

datensicherheit.de, 13.12.2021
Log4Shell: Bitkom zur Bedrohungslage durch neue Schwachstelle / Cyber-Kriminelle versuchen bereits aktiv, diese Schwachstelle auszunutzen

datensicherheit.de, 13.12.2021
Apache Log4j mutmaßlich größte und kritischste IT-Schwachstelle des letzten Jahrzehnts / Auch Tenable-CEO Amit Yoran warnt eindringlich vor Schwachstelle in Apache Log4j