Eine kritische Sicherheitslücke mit der Bezeichnung Log4Shell in Apache Log4 öffnet für Angreifer viele Tore, denn sie betrifft mit Apache Log4j eine bekannte Open-Source-Apache-Protokollierungsbibliothek. Wenn die Schwachstelle ausgenutzt wird, kann ein nicht authentifizierter, entfernter Angreifer eine speziell gestaltete Anfrage an einen Server senden, auf dem eine anfällige Version von Log4j läuft. Die Schwachstelle wird derzeit aktiv ausgenutzt und betrifft eine Reihe von Diensten und Anwendungen, darunter Minecraft, Steam und Apple iCloud.
„Log4Shell, eine kritische Sicherheitslücke in Apache Log4j, wirft ein grelles Licht auf die riskante Praxis, sich bei der Entwicklung von Unternehmensanwendungen auf Open-Source-Codebibliotheken zu verlassen“, erklärt Bernard Montel, EMEA Technical Director und Chief Cybersecurity Strategist bei Tenable. „Viele Unternehmen auf der ganzen Welt verlassen sich auf Open-Source-Bibliotheken als Schlüsselelement, um Anwendungen schnell auf den Markt zu bringen. Diese Bibliotheken sind jedoch oft nicht in der Lage, einen sicherheitsorientierten Ansatz zu verfolgen. Diese Abhängigkeit von einem wilden Westen von Code-Bibliotheken wird Unternehmen weiterhin verwundbar machen, bis Zeit und Ressourcen investiert werden, um sie sicherer zu machen.“
Daher sei die Cyber-Sicherheitsbranche insgesamt gefragt, gemeinsam die Standards und Praktiken anzuheben, um eine saubere Bewertung der Kritikalität jeder Open-Source-Komponente in ihrer Infrastruktur zu ermöglichen. Dabei sei ein weiteres Ziel, sicherzustellen, dass bei jedem Schritt im Entwicklungslebenszyklus ein Sicherheitsdesign vorhanden ist.
Security-Experten erwarten, dass sich die frühe Ausnutzung von Log4j, bei der sich Angreifer auf die niedrig hängenden Früchte der Schwachstelle stürzen, im Laufe der Zeit zu komplexeren Angriffen auf empfindlichere Systeme entwickeln, die dem Internet weniger ausgesetzt sind. Dabei zeigt die Log4j-Schwachstelle, bekannt als Log4Shell, zwei wichtige Praktiken auf, die Anlass zur Sorge geben:
- Wie Unternehmen ihre riesigen Mengen an Protokolldaten erfassen und schützen, sowie
- die Verwendung von Open-Source-Codebibliotheken als Bausteine für wichtige Unternehmensanwendungen.
Daher erscheint es als nicht verwunderlich, das Experten davon ausgehen, dass Unternehmen auf der ganzen Welt noch jahrelang mit den Folgen dieser Sicherheitslücke zu kämpfen haben.
Das IT-Security-Unternehmen Tenable entdeckt jede Minute neue Anwendungen, die Log4j auf die eine oder andere Weise nutzen. Das betrifft nicht nur den Code, den Unternehmen erstellen, sondern auch die Systeme von Drittanbietern, die sie im Einsatz haben. Alles, vom neuen Drucker, den man für sein Büro gekauft hat, bis hin zum Ticketing-System, das man gerade eingerichtet hat, ist potenziell von dieser Schwachstelle betroffen. Einige der betroffenen Systeme befinden sich vielleicht vor Ort, andere werden in der Cloud gehostet, aber egal, wo sie sich befinden, die Schwachstelle wird wahrscheinlich Auswirkungen haben. Um ein Gefühl für das Ausmaß der Schwachstelle zu geben: Tenable beobachtet bereits, dass Kunden 1.000 Systeme pro Sekunde überprüfen und ein betroffenes System pro Sekunde identifizieren.
Die Ironie dieser Schwachstelle besteht darin, dass sie es Angreifern ermöglichen könnte, genau die Logging-Praktiken auszunutzen, die das Aushängeschild für solide Sicherheitspraktiken sind: Je sicherer ein Unternehmen ist, desto mehr protokolliert es jede Aktion, was bedeutet, dass sie auf einem größeren Pool von Logging-Daten sitzt, die potenziell ausgenutzt werden können.
Die ausgereiftesten Sicherheitsorganisationen erfassen in der Regel die größte Menge an Protokolldaten, um effektiv auf Vorfälle reagieren und Sicherheitsmaßnahmen ergreifen zu können. Das Kernproblem von Log4j ist, dass man es ausnutzen kann, wenn man es dazu bringt, beliebige Spuren zu protokollieren.
Anwendungen auf wackligen Fundamenten bauen
Der Apache Log4j-Flaw wirft ein grelles Licht auf die heutzutage übliche und riskante Praxis, sich bei der Entwicklung von Unternehmensanwendungen auf Open-Source-Codebibliotheken zu verlassen. Die Apache Foundation, von der auch die Struts-Schwachstelle im Jahr 2017 stammt, ist eine von der Community geführte Organisation, die behauptet, Softwareprodukte im Wert von 22 Milliarden Dollar kostenlos für die Allgemeinheit zur Verfügung zu stellen.
Unternehmen auf der ganzen Welt profitieren jeden Tag von der Arbeit der Stiftung. Dennoch hat es sich die IT-Security-Branche nicht zur Priorität gemacht, die Organisation mit Mitteln zu unterstützen, die einen sicherheitsorientierten Ansatz fördern können.
Da die Anforderungen an die digitale Transformation und die Agilität der Softwareentwicklung jedes Jahr exponentiell steigen, verlassen sich Unternehmen auf der ganzen Welt auf Open-Source-Bibliotheken als Schlüsselelement ihrer Fähigkeit, Anwendungen schnell auf den Markt zu bringen. Die Folge ist eine Abhängigkeit von einem quasi wilden Westen von Code-Bibliotheken.
Dies wird Unternehmen weiterhin verwundbar machen, solange sie nicht die nötige Zeit und die Ressourcen investieren, um für mehr Sicherheit zu sorgen. Es ist längst an der Zeit, ein Sicherheitsklassifizierungssystem für Open-Source-Codebibliotheken zu schaffen. Ein solches System würde jedem Code eine Sicherheitseinstufung zuweisen und den Benutzern einen Überblick darüber verschaffen, wie gut die Bibliotheken unter Sicherheitsaspekten gepflegt werden.
Wenn Unternehmen Open-Source-Software weiterhin zu einer kritischen Komponente ihrer benutzerdefinierten Entwicklungsmodelle machen wollen, ist es an der Zeit, eine Reihe von Standards und Praktiken einzuführen, die eine saubere Bewertung der Kritikalität jeder Open-Source-Komponente in ihrer Infrastruktur ermöglichen. Ebenso gilt es sicherzustellen, dass bei jedem Schritt im Entwicklungslebenszyklus ein Sicherheitsdesign vorhanden ist. (rhh)
