Die Lücke kann ausgenutzt werden, wenn der Angreifer manipulierte Anfragen an eine betroffene Anwendung oder einen angreifbaren Server schickt. Der Verzeichnisdienst JNDI verbindet sich nach dieser Anfrage mit dem darin angegebenen Server und nimmt von diesem anschließend Daten entgegen. Das können z.B. schädliche Java-Klassen sein und diese werden daraufhin ausgeführt.
Für die Betroffenen kann es verschiedene Auswirkungen haben: Bei Hosting-oder Cloudanbietern kann Rechenleistung abgezapft werden (z.B. für Kryptomining), aber auch Ransomware-Angriffe können vorkommen.
Die Sicherheitslücken sind darum so fatal, weil Log4j in sehr vielen Java-Anwendungen verwendet wird, welche auch die Dienste von Global Playern einschließen: Amazon, Apple, Cloudflare, Google, IBM, Tesla…um nur einige zu nennen.
Auch Heimanwender und Sicherheitsinfrastruktur betroffen
Doch nicht nur die großen Anbieter sind in Gefahr, auch System- und Netzwerkkomponenten sind angreifbar. Die UniFi Network Application, welche zum Verwalten von Access Points, Routern etc. des Anbieters Ubiquiti verwendet wird, ist verwundbar. Vor allem Privatpersonen, die sich mit ihren privaten Geräten von zu Hause in die Firma einwählen, sollten vorsichtig sein.
Auch der IT-Riese Cisco hat Lücken in seiner Kameraüberwachungsanwendung Cisco Video Surveillance Operations Manager eingeräumt. Das könnte in Verbindung mit anderen Smart Home Komponenten zu weiteren Angriffsmöglichkeiten führen.
Log4j-Patch bringt nur mäßige Linderung – Was tun?
Wenn Sie bereits ein Update auf das zwischenzeitlich veröffentlichte Log4j 2.15.0 durchgeführt haben, sollten Sie erneut handeln. Diese Version ist noch unvollständig und sollte auf Version 2.16.0 umgestellt werden. Aber auch hier kann noch nicht abschließend Entwarnung gegeben werden.
Empfohlen wird, dass betroffene Systeme vorerst isoliert, Netzwerke segmentiert und zur Not abgeschaltet werden, bis das Problem behoben ist. Auf Systemen, die nicht abgeschaltet werden können, sollte höchste Vorsicht gelten: Führen Sie intensives Logging durch und protokollieren Sie sämtliche Verbindungen, um Angriffe zu entdecken und abzuwehren.