Am 9. Dezember 2021eine kritische Zero-Day-Schwachstelle, die die Log4j2-Bibliothek von Apache, ein Java-basiertes Protokollierungsdienstprogramm, betrifft, wurde der Weltöffentlichkeit bekannt und zerstörte das Internet.
Als dritthäufigste Computersprache ist Java praktisch allgegenwärtig, und seine Log4j2-Bibliothek ist äußerst beliebt, mit geschätzten 15 Milliarden Geräten auf der ganzen Welt, auf denen derzeit Java ausgeführt wird. Das Schlimmste ist, dass Log4j schwer zu finden und leicht auszunutzen ist, wodurch Hunderte Millionen Java-basierter Anwendungen, Datenbanken und Geräte einem ernsthaften Risiko ausgesetzt sind.
Der volle Umfang des Risikos, das von der Schwachstelle ausgeht, ist beispiellos und umfasst jede Art von Organisation in jeder Branche. Aufgrund der Einfachheit des Exploits in Kombination mit der Schwierigkeit, die Schwachstelle in Ihrem Unternehmen aufzudecken, ist Log4Shell die sprichwörtliche Nadel im Heuhaufen.
Die Direktorin der Cybersecurity and Infrastructure Security Agency, Jen Easterly, bemerkte, dass Log4Shell die „schwerwiegendste“ Schwachstelle sei, die sie in ihrer jahrzehntelangen Karriere erlebt habe. Sie forderte die Unternehmensleiter auf, die Behebungsprozesse nicht zu verzögern, und wies darauf hin, dass es Jahre dauern könnte, diese Schwachstelle zu beheben. Das Beheben dieser Schwachstelle wäre kein einfacher, einmaliger Prozess, und es wären mehrere Erkennungsmethoden erforderlich.
Schnell zu patchen, schneller auszunutzen
Als sich viele Unternehmen darauf vorbereiteten, in den letzten zwei Wochen des Jahres 2021 mit einem minimalen IT-Personal zu arbeiten, sahen Hacker und Angreifer eine Gelegenheit. Es dauerte nicht lange, bis diese kritische Java-Schwachstelle in freier Wildbahn ausgenutzt wurde. Fast 1 Million Angriffsversuche wurden innerhalb von nur 72 Stunden nach Bekanntwerden der Schwachstelle gestartet.
Was noch schlimmer ist: Im Rahmen einer laufenden Informationsbeschaffungsoperation nutzte die berüchtigte chinesische Hackergruppe APT41, die in den letzten 10 Monaten lokale Regierungsbehörden in mindestens sechs US-Bundesstaaten verletzt hatte, schnell Log4Shell als primären Vektor, um mindestens zwei davon zu infiltrieren Computersysteme der Staaten.