Log4j: Scanner überprüft, ob System betroffen ist
Die Sicherheitslücke in der Java-Bibliothek Log4j bedroht das gesamte Internet, wir haben berichtet. „Ich halte Log4Shell für eine der schwersten Schwachstellen der vergangenen 10 Jahre“, sagt Sebastian Bicchi, geschäftsführender Gesellschafter von Sec-Research. Er hat mit seinem Team einen Scanner entwickelt, mit dem man überprüfen kann, ob man von der Schwachstelle betroffen ist.
„Die Komponente Log4j, die in der Schwachstelle Log4Shell enthalten ist, ist in einer Unzahl an Software eingebunden. Es ist oft nicht möglich, einfach Log4j auszutauschen, sondern man muss warten, ob Hersteller*innen ein Update liefern“, sagt Bicchi. „Und das gerade in einer Zeit, wo man eher keine Updates einspielen möchte.“ Eigentlich hätte der Scanner bereits vor Weihnachten fertig werden sollen, doch es dauerte länger, bis man wirklich alles umsetzen konnte, was wichtig war.
"Jeder, der größere Internet-Anwendungen am Laufen hat", ist davon betroffen, so Otmar Lendl vom österreichischen Cybersicherheitszentrum CERT.at. Log4j wird von vielen Millionen Applikationen verwendet, darunter weit verbreitete Angebote wie Cloud-Speicherdienste oder Online-Spielenetzwerke.
Webseiten und Domains scannen
Mit dem kostenlosen Online-Scanner von Sec-Research kann man seine Webseite, Webapps, ganze Domains und Subdomains sowie alle Unterseiten nach möglichen Eintrittsvektoren abscannen. „Der Scanner ist auch für Laien einfach zu bedienen. Wir haben eine DNS-Struktur aufgebaut und halten die Daten in Europa, daher ist er auch aus Datenschutzsicht unbedenklich“, sagt Bicchi zur futurezone.
„Das Besondere ist, dass er nahezu alle Stellen selbst findet, in denen ein Angriff unter Umständen möglich wäre. Er durchsucht sämtliche Unterseiten und findet alle möglichen Nutzer*inneneingaben“, so der Sicherheitsforscher. Damit sollen von außen zugängliche Angriffsflächen entdeckt werden.
Neue Schwachstellenversion
Am Dienstag ist zudem eine neue Log4Shell-Schwachstelle in der Version 2.17.0 aufgetaucht. Mit dem Fix auf 2.17.1. gibt es aber bereits ein Update. „Wir werden natürlich auch diese Schwachstellenvariante scannen“, so Bicchi. Es ist durchaus möglich, dass Schwachstellen erst verzögert bekannt werden und daher ein Scan auch dann sinnvoll ist, wenn man alle bisherigen Updates bereits eingespielt hat.
„Der Scanner imitiert auch derzeit laufende Angriffe im Web“, so Bicchi. „Er ist natürlich nicht perfekt und es gibt keine Garantie, dass alle Schwachstellen gefunden werden. Aber wir haben uns sehr viele Gedanken gemacht, wie wir alle möglichen Angriffspunkte finden.“