06.Januar 2022 | Marco | Thema: IT-Sicherheit

IT-Sec Jahresrückblick 2021 – Teil 4

Schlagwörter: Jahresrückblick | Sicherheit

„Opensource ist auch keine Lösung“

Unter diesem etwas provokanten Titel findet sich die aktuellste Sicherheitslücke des Jahres 2021. Betroffen ist diesmal eine Opensource Software-Bibliothek, die von vielen Softwareentwickelnden aus Zeit- und Effizienzgründen in ihre eigenen Produkte integriert wurde. Eigentlich ein etabliertes, übliches Vorgehen, nur lässt das verwendete Modul Dinge zu, die nicht erlaubt sein sollten. Das kommt vor, es gilt das Naturgesetz – wer Software entwickelt macht Fehler. Problematisch ist allerdings der unreflektierte Umgang beim Einbinden externer Bibliotheken. Hier findet häufig keine Qualitätskontrolle, über die reine Funktionsprüfung hinaus, statt und IT-Sicherheitsaspekte werden nur wenig betrachtet. Leider ist hier Opensource nicht besser als Close Source. Hier ein paar Details:

Log4J
Rechtzeitig um uns die Vorweihnachtszeit abwechslungsreicher zu gestalten, erschien eine Schwachstelle namens „Log4Shell“ in der weit verbreiteten Java-Bibliothek Log4j. Zur Abwechslung mal kein Microsoft-Problem. Die Protokollierungsbibliothek dient der performanten Sammlung von Protokolldaten in diversen Anwendungen. Die Schwachstelle ermöglicht es Angreifenden auf dem Zielsystem eigenen Programmcode auszuführen, was zur Kompromittierung des Zielsystems führen kann. Dabei kann die Schwachstelle trivial ausgenutzt werden. Log4j wird in vielen Java-Anwendungen eingesetzt. Die Gefahr einer aktiven, breiten Ausnutzung ist durch die Verfügbarkeit eines PoC (Proof of Concept) und die Variation der möglichen schadhaften Zeichenketten als „sehr hoch“ zu bewerten. Hinzu kommt, dass das Patchmanagement von Java-Anwendungen nicht trivial ist. Aktuell gibt es keine vollständige Liste aller betroffenen Produkte, die diese Bibliothek in einer verwundbaren Version einsetzen, so dass zum jetzigen Zeitpunkt nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind. Die Verwundbarkeit von eingebetteten Systemen kann derzeit nicht pauschal bewertet werden. Weiterhin ist zum jetzigen Zeitpunkt davon auszugehen, dass auch Produkte, die im Bereich der kritischen Infrastrukturen eingesetzt werden, verwundbar sein können. Erste Hersteller, wie beispielsweise Siemens, Schneider Electric (APC) und Rockwell Automation [RAU2021] haben bereits Sicherheitshinweise zu ihren Produkten veröffentlicht.

Quelle:
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html
https://github.com/NCSC-NL/log4shell