Sicherheitsexperten sagen, dass es sich um eine der schlimmsten Computerschwachstellen handelt, die sie je gesehen haben. Sie sagen, staatlich unterstützte chinesische und iranische Hacker und betrügerische Kryptowährungs-Miner haben es bereits beschlagnahmt.
Das Department of Homeland Security schlägt Alarm und fordert die Bundesbehörden auf, den Fehler dringend zu beseitigen, weil er so leicht ausnutzbar ist – und fordert diejenigen mit öffentlich zugänglichen Netzwerken auf, Firewalls aufzustellen, wenn sie sich nicht sicher sind. Die betroffene Software ist klein und oft undokumentiert.
Der Fehler wurde in einem weit verbreiteten Dienstprogramm namens Log4j entdeckt und ermöglicht es internetbasierten Angreifern, die Kontrolle über alles zu erlangen, von industriellen Steuerungssystemen über Webserver bis hin zu Unterhaltungselektronik. Die einfache Identifizierung, welche Systeme das Dienstprogramm verwenden, ist eine enorme Herausforderung; es ist oft unter Schichten anderer Software versteckt.
Die führende US-Beamtin für Cybersicherheit, Jen Easterly, bezeichnete den Fehler in einem Anruf am Montag mit staatlichen und lokalen Beamten und Partnern aus dem Privatsektor als „eine der schwerwiegendsten, die ich in meiner gesamten Karriere gesehen habe, wenn nicht die schwerwiegendste“. Am vergangenen Donnerstag öffentlich bekannt gegeben, ist es eine Katzenminze für Cyberkriminelle und digitale Spione, da es einen einfachen, passwortfreien Zugang ermöglicht.
Die Cybersecurity and Infrastructure Security Agency (CISA), die von Easterly betrieben wird, hat am Dienstag eine Ressourcenseite eingerichtet, um einen Fehler zu beseitigen, der angeblich in Hunderten von Millionen von Geräten vorhanden ist. Andere stark computerisierte Länder nahmen es ebenso ernst: Deutschland aktivierte sein nationales IT-Krisenzentrum.
Laut Dragos, einem führenden Unternehmen für Cybersicherheit im Bereich der industriellen Kontrolle, wurden zahlreiche kritische Industrien, darunter Strom, Wasser, Lebensmittel und Getränke, Fertigung und Transport, aufgedeckt. „Ich denke, wir werden keinen einzigen großen Softwarehersteller der Welt sehen – zumindest auf industrieller Seite – der kein Problem damit hat“, sagte Sergio Caltagirone, Vice President of Threat Intelligence des Unternehmens.
Eric Goldstein, Leiter der Cybersicherheitsabteilung von CISA, sagte, Washington führe eine globale Reaktion. Er sagte, es seien keine Bundesbehörden bekannt, die kompromittiert worden seien. Aber das sind frühe Tage.
„Was wir hier haben, ist eine extrem weit verbreitete, leicht auszunutzende und potenziell hochgradig schädliche Schwachstelle, die von Gegnern sicherlich ausgenutzt werden könnte, um echten Schaden anzurichten“, sagte er.
EIN KLEINES STÜCK CODE, EINE WELT DER PROBLEME
Die betroffene Software, geschrieben in der Programmiersprache Java, protokolliert Benutzeraktivitäten auf Computern. Es wurde von einer Handvoll Freiwilligen unter der Schirmherrschaft der Open-Source-Apache Software Foundation entwickelt und gepflegt und ist bei kommerziellen Softwareentwicklern äußerst beliebt. Es läuft auf vielen Plattformen – Windows, Linux, Apples macOS – und versorgt alles von Webcams über Autonavigationssysteme bis hin zu medizinischen Geräten, so die Sicherheitsfirma Bitdefender.
Goldstein sagte Reportern in einer Telefonkonferenz am Dienstagabend, dass CISA einen Bestand an gepatchter Software aktualisieren werde, sobald Fixes verfügbar seien. Log4j ist oft in Programme von Drittanbietern eingebettet, die von ihren Besitzern aktualisiert werden müssen. „Wir gehen davon aus, dass die Sanierung einige Zeit in Anspruch nehmen wird“, sagte er.
Die Apache Software Foundation teilte mit, dass der chinesische Technologieriese Alibaba sie am 24. November über den Fehler informiert habe. Es dauerte zwei Wochen, um einen Fix zu entwickeln und zu veröffentlichen.
Neben dem Patchen zur Behebung des Fehlers stehen Computersicherheitsexperten vor einer noch gewaltigeren Herausforderung: Sie versuchen zu erkennen, ob die Sicherheitsanfälligkeit ausgenutzt wurde – ob ein Netzwerk oder ein Gerät gehackt wurde. Das bedeutet wochenlange aktive Überwachung. Ein hektisches Wochenende, in dem versucht wurde, offene Türen zu identifizieren – und zuzuschlagen, bevor Hacker sie ausnutzten – verwandelt sich jetzt in einen Marathon.
LULL VOR DEM STURM
„Viele Leute sind schon ziemlich gestresst und ziemlich müde von der Arbeit am Wochenende – wenn wir uns auf absehbare Zeit wirklich damit beschäftigen werden, ziemlich weit ins Jahr 2022“, sagte Joe Slowik, Leiter der Bedrohungsanalyse beim Netzwerk Sicherheitsfirma Gigamon.
Das Cybersicherheitsunternehmen Check Point gab am Dienstag bekannt, dass es 44 % der Unternehmensnetzwerke gescannt und 1,3 Millionen Versuche entdeckt habe, die Schwachstelle auszunutzen, die meisten von bekannten böswilligen Gruppen. Es heißt, der Fehler wurde ausgenutzt, um Kryptowährungs-Mining-Malware – die Computerzyklen nutzt, um heimlich digitales Geld zu schürfen – in fünf Ländern zu installieren.
Bisher wurden keine erfolgreichen Ransomware-Infektionen entdeckt, die den Fehler ausnutzen. Aber Experten sagen, dass dies wahrscheinlich nur eine Frage der Zeit ist.
“Ich denke, was passieren wird, ist, dass es zwei Wochen dauern wird, bis die Auswirkungen sichtbar werden, weil Hacker in Unternehmen eindringen und herausfinden werden, was als nächstes zu tun ist.” John Graham-Cumming, Chief Technical Officer von Cloudflare, dessen Online-Infrastruktur Websites vor Online-Bedrohungen schützt.
Wir befinden uns in einer Flaute vor dem Sturm, sagte Sean Gallagher, Senior Researcher vom Cybersicherheitsunternehmen Sophos.
„Wir gehen davon aus, dass sich Gegner wahrscheinlich so viel Zugang zu allem verschaffen, was sie gerade bekommen können, um später Geld daraus zu machen und/oder daraus Kapital zu schlagen.“ Dazu gehört das Extrahieren von Benutzernamen und Passwörtern.
Staatlich unterstützte chinesische und iranische Hacker haben den Fehler bereits ausgenutzt, vermutlich für Cyberspionage, und von anderen staatlichen Akteuren wurde dies ebenfalls erwartet, sagte John Hultquist, ein führender Bedrohungsanalyst bei der Cybersicherheitsfirma Mandiant. Er würde weder das Ziel der chinesischen Hacker noch seinen geografischen Standort nennen. Er sagte, die iranischen Akteure seien „besonders aggressiv“ und hätten vor allem zu störenden Zwecken an Ransomware-Angriffen teilgenommen.
SOFTWARE: UNSICHER DURCH DESIGN?
Die Log4j-Episode enthüllt ein schlecht behandeltes Problem im Softwaredesign, sagen Experten. Zu viele Programme, die in kritischen Funktionen verwendet werden, wurden nicht mit ausreichendem Gedanken an Sicherheit entwickelt.
Open-Source-Entwickler wie die Freiwilligen, die für Log4j verantwortlich sind, sollten nicht so sehr beschuldigt werden, sondern einer ganzen Branche von Programmierern, die oft blindlings Schnipsel von solchem Code einfügen, ohne die gebotene Sorgfalt zu walten, sagte Slowik von Gigamon.
Beliebten und maßgeschneiderten Anwendungen fehlt oft eine „Software-Stückliste“, die den Benutzern zeigt, was unter der Haube steckt – in Zeiten wie diesen ein entscheidendes Bedürfnis.
„Dies wird offensichtlich immer mehr zu einem Problem, da Softwareanbieter insgesamt offen verfügbare Software verwenden“, sagte Caltagirone von Dragos.
Vor allem in Industrieanlagen seien vormals analoge Systeme in allen Bereichen von der Wasserversorgung bis zur Lebensmittelproduktion in den letzten Jahrzehnten digital aufgerüstet worden, um automatisiert und ferngesteuert zu werden. “Und eine Möglichkeit, dies offensichtlich zu tun, war Software und die Verwendung von Programmen, die Log4j nutzten”, sagte Caltagirone.