Log4Shell ist der Name für eine kritische Schwachstelle, die am 9. Dezember in der beliebten Logging-Bibliothek für Java namens «log4j» entdeckt wurde. Diese ist in einer grossen Anzahl von Java-Anwendungen enthalten. Mit dem veröffentlichten Exploit-Code kann ein Angreifer einen Server, auf dem eine anfällige log4j-Bibliothek läuft, dazu zwingen, Befehle auszuführen, beispielsweise bösartige Software herunterzuladen oder eine Backdoor-Verbindung zum Server zu öffnen.
«Cloud-Dienste wie Steam, Apple iCloud und Anwendungen wie Minecraft wurden bereits als anfällig eingestuft», schreibt Lunasec. «Jeder, der Apache Struts verwendet, ist wahrscheinlich verwundbar. Wir haben gesehen, dass ähnliche Schwachstellen schon früher ausgenutzt wurden, z. B. bei der Datenpanne bei Equifax 2017. Eine ausführliche Liste von Antworten betroffener Unternehmen wurde hier zusammengestellt.»
Ein Teil der Schwierigkeit beim Patchen gegen den Log4Shell-Angriff besteht darin, dass alle anfälligen Webanwendungen identifizieren werden müssen. Dies schreibt Johannes Ullrich, ein Blogger für das SANS Internet Storm Center. «Log4Shell wird uns noch über Jahre hinweg verfolgen. Der Umgang mit log4shell wird ein Marathon sein», sagte Ullrich. «Behandeln Sie es als solchen.»
John Hultquist, Vice President of Intelligence Analysis bei Mandiant, sagte, dass beobachtet wurde, wie chinesische und iranische staatliche Akteure die log4j-Schwachstelle ausnutzen. Besonders iranische Akteure sind sehr agressiv, da sie an Ransomware-Operationen teilgenommen haben, die in erster Linie zu Störungszwecken und nicht zum finanziellen Gewinn durchgeführt werden.
Im Grunde ist das perfekte Ende der Cybersicherheit im Jahr 2021 eine Java-Schwachstelle im Stil der 90er Jahre in einem Open-Source-Modul. Dieses wurde von zwei Freiwilligen ohne finanzielle Mittel geschrieben, welches von grossen Cybersicherheitsanbietern genutzt wird und unentdeckt bleibt, bis der Minecraft-Chat dies entdeckte und niemand weiss, wie man da so richtig reagiert.
Viele der veröffentlichten Dezember 2021 Patches von Microsoft beheben Sicherheitslücken welche als kritisch eingestuft werden. Das bedeutet, dass Malware oder andere Angreifer die Schwachstellen ausnutzen könnten, um mit wenig oder gar keiner Hilfe der Benutzer die vollständige Fernsteuerung über ein anfälliges Windows-System zu erlangen.
Auch Google hat fünf Sicherheitskorrekturen für Chrome herausgegeben. Eine dieser wird als kritisch eingestuft und drei weitere mit hohem Schweregrad. Auch Adobe hat mit Patches 60 Sicherheitslücken geschlossen, welche die Adobe Produkte-Linie anbelangt.
