Sicherheitsexperten sagen, dass es sich um eine der schlimmsten Computerschwachstellen handelt, die sie je gesehen haben. Firmen wie Microsoft sagen, dass staatlich unterstützte chinesische und iranische Hacker und betrügerische Kryptowährungs-Miner es bereits beschlagnahmt haben.
Das Department of Homeland Security hat Alarm geschlagen und Bundesbehörden angewiesen, dringend Bug-Instanzen zu finden und zu patchen, weil es so leicht ausnutzbar ist – und diejenigen mit öffentlich zugänglichen Netzwerken aufgefordert, Firewalls aufzustellen, wenn sie sich nicht sicher sind. Ein kleines Stück Code, die betroffene Software oft undokumentiert.
Der Fehler, der in einem weit verbreiteten Dienstprogramm namens Log4j gespeichert ist, ermöglicht es internetbasierten Angreifern, die Kontrolle über alles zu erlangen, von industriellen Steuerungssystemen über Webserver bis hin zu Unterhaltungselektronik. Die einfache Identifizierung, welche Systeme das Dienstprogramm verwenden, ist eine Herausforderung; es ist oft unter Schichten anderer Software versteckt.
Die führende US-Beamtin für Cybersicherheit, Jen Easterly, bezeichnete den Fehler in einem Anruf am Montag mit staatlichen und lokalen Beamten und Partnern aus der Privatwirtschaft als “eine der schwerwiegendsten, die ich in meiner gesamten Karriere gesehen habe, wenn nicht die schwerwiegendste”. Am vergangenen Donnerstag öffentlich bekannt gegeben, ist es eine Katzenminze für Cyberkriminelle und digitale Spione, da es einen einfachen, passwortfreien Zugang ermöglicht.
Die Cybersecurity and Infrastructure Security Agency (CISA), die von Easterly betrieben wird, hat am Dienstag eine Ressourcenseite eingerichtet, um den Fehler zu beheben, der angeblich in Hunderten von Millionen von Geräten vorhanden ist. Andere stark computerisierte Länder nahmen es ebenso ernst: Deutschland aktivierte sein nationales IT-Krisenzentrum.
Laut Dragos, einem führenden Cybersicherheitsunternehmen, wurden zahlreiche kritische Industrien, darunter Strom, Wasser, Lebensmittel und Getränke, Fertigung und Transport, aufgedeckt. “Ich denke, wir werden keinen einzigen großen Softwarehersteller der Welt sehen – zumindest auf industrieller Seite – kein Problem damit haben”, sagte Sergio Caltagirone, Vice President of Threat Intelligence des Unternehmens.
MICROSOFT SAGT RUSSISCHE GRUPPE HINTER SOLARWINDS ANGRIFF JETZT AUF DIE LIEFERKETTE
Eric Goldstein, Leiter der Cybersicherheitsabteilung des CISA, sagte, es seien keine Bundesbehörden bekannt, die kompromittiert worden seien. Aber das sind frühe Tage.
“Was wir hier haben, ist eine extrem weit verbreitete, leicht auszunutzende und potenziell hochgradig schädliche Schwachstelle, die sicherlich von Gegnern ausgenutzt werden könnte, um echten Schaden anzurichten”, sagte er.
EIN KLEINES STÜCK CODE, EINE WELT DER PROBLEME
Die betroffene Software, geschrieben in der Programmiersprache Java, protokolliert die Benutzeraktivität. Es wurde von einer Handvoll Freiwilligen unter der Schirmherrschaft der Open-Source-Apache Software Foundation entwickelt und gepflegt und ist bei kommerziellen Softwareentwicklern sehr beliebt. Es läuft auf vielen Plattformen – Windows, Linux, Apples macOS – und versorgt alles von Webcams über Autonavigationssysteme bis hin zu medizinischen Geräten, so die Sicherheitsfirma Bitdefender.
FBI BEWUSST UND UNTERSUCHT FAKE FBI-E-MAILS, DIE AN TAUSENDE VERSENDET WERDEN
Goldstein sagte Reportern in einem Anruf am Dienstagabend, dass CISA einen Bestand an gepatchter Software aktualisieren werde, sobald Fixes verfügbar seien. „Wir gehen davon aus, dass die Sanierung einige Zeit in Anspruch nehmen wird“, sagte er.
Die Apache Software Foundation teilte mit, dass der chinesische Technologieriese Alibaba sie am 24. November über den Fehler informiert habe. Es dauerte zwei Wochen, um einen Fix zu entwickeln und zu veröffentlichen.
Über das Patchen hinaus stehen Computersicherheitsexperten vor einer noch gewaltigeren Herausforderung: Sie versuchen zu erkennen, ob die Sicherheitsanfälligkeit ausgenutzt wurde – ob ein Netzwerk oder ein Gerät gehackt wurde. Das bedeutet wochenlange aktive Überwachung. Ein hektisches Wochenende, in dem versucht wurde, offene Türen zu identifizieren – und zuzuschlagen, bevor Hacker sie ausnutzten – verwandelt sich jetzt in einen Marathon.
LULL VOR DEM STURM
„Viele Leute sind schon ziemlich gestresst und ziemlich müde von der Arbeit am Wochenende – wenn wir uns auf absehbare Zeit wirklich damit befassen werden, bis weit in das Jahr 2022 hinein“, sagte Joe Slowik, Leiter der Bedrohungsanalyse beim Netzwerk Sicherheitsfirma Gigamon.
Das Cybersicherheitsunternehmen Check Point sagte am Dienstag, es habe mehr als eine halbe Million Versuche bekannter böswilliger Akteure entdeckt, den Fehler in Unternehmensnetzwerken auf der ganzen Welt zu identifizieren. Es heißt, der Fehler wurde ausgenutzt, um Kryptowährungs-Mining-Malware zu installieren – die Rechenzyklen nutzt, um heimlich digitales Geld zu schürfen – in fünf Ländern.
Bisher wurden keine erfolgreichen Ransomware-Infektionen entdeckt, die den Fehler ausnutzen, obwohl Microsoft in einem Blog-Beitrag sagte, dass Kriminelle, die in Netzwerke einbrechen und Ransomware-Banden Zugang verkaufen, entdeckt wurden, die die Schwachstelle sowohl in Windows- als auch in Linux-Systemen ausnutzen. Kriminelle bauten die Schwachstelle auch schnell in Botnets ein, die mehrere Zombie-Computer für Diebstähle einsperren.
“Ich denke, was passieren wird, ist, dass es zwei Wochen dauern wird, bis die Auswirkungen sichtbar werden, weil Hacker in Unternehmen eindringen und herausfinden werden, was als nächstes zu tun ist.” John Graham-Cumming, Chief Technical Officer von Cloudflare, dessen Online-Infrastruktur Websites vor Online-Bedrohungen schützt.
Vom Iran unterstützte Hacker haben Microsoft ausgenutzt, stellen eine wichtige Cyberbedrohung dar, sagen die Ermittler
Der Senior Researcher Sean Gallagher von der Cybersicherheitsfirma Sophos sagte, wir seien in der Flaute vor dem Sturm.
„Wir gehen davon aus, dass sich Gegner wahrscheinlich so viel Zugang zu allem verschaffen, was sie gerade bekommen können, um später Geld daraus zu machen und/oder daraus Kapital zu schlagen.“ Dazu gehört das Extrahieren von Benutzernamen und Passwörtern.
Staatlich unterstützte chinesische und iranische Staatshacker nutzten die Schwachstelle bereits für Spionage aus, sagten Microsoft und die Cybersicherheitsfirma Mandiant. Laut Microsoft waren es auch nordkoreanische und türkische staatlich unterstützte Hacker. John Hultquist, ein Top-Analyst von Mandiant, nannte keine Ziele, sagte jedoch, die iranischen Akteure seien “besonders aggressiv” und hätten hauptsächlich zu störenden Zwecken an Ransomware-Angriffen gegen Israel teilgenommen.
Microsoft sagte, dass dieselbe chinesische Cyberspionagegruppe, die Anfang 2021 einen Fehler in ihrer lokalen Exchange Server-Software ausnutzte, Log4j verwendet, um „ihr typisches Targeting zu erweitern“.
SOFTWARE: UNSICHER DURCH DESIGN?
Die Log4j-Episode enthüllt ein schlecht behandeltes Problem im Softwaredesign, sagen Experten. Zu viele Programme, die in kritischen Funktionen verwendet werden, wurden nicht mit ausreichendem Gedanken an Sicherheit entwickelt.
Open-Source-Entwickler wie die Freiwilligen, die für Log4j verantwortlich sind, sollten nicht so sehr beschuldigt werden, sondern einer ganzen Branche von Programmierern, die oft blindlings Schnipsel von solchem Code einfügen, ohne die gebotene Sorgfalt zu walten, sagte Slowik von Gigamon.
KLICKEN SIE HIER, UM DIE FOX NEWS APP ZU ERHALTEN
Beliebten und kundenspezifischen Anwendungen fehlt oft eine “Software Bill of Materials”, die den Benutzern zeigt, was unter der Haube steckt – in Zeiten wie diesen ein entscheidendes Bedürfnis.
“Dies wird offensichtlich immer mehr zu einem Problem, da Softwareanbieter insgesamt offen verfügbare Software verwenden”, sagte Caltagirone von Dragos.
Vor allem in Industrieanlagen seien vormals analoge Systeme in allen Bereichen von der Wasserversorgung bis zur Lebensmittelproduktion in den letzten Jahrzehnten digital aufgerüstet worden, um automatisiert und ferngesteuert zu werden. “Und eine Möglichkeit, dies offensichtlich zu tun, war Software und die Verwendung von Programmen, die Log4j nutzten”, sagte Caltagirone.