Eine kritische Schwachstelle in einem weit verbreiteten Softwaretool – eine im Online-Spiel Minecraft schnell ausgenutzte – entwickelt sich schnell zu einer großen Bedrohung für Unternehmen auf der ganzen Welt.
„Das Internet brennt gerade“, sagte Adam Meyers, Senior Vice President of Intelligence bei der Cybersicherheitsfirma Crowdstrike. “Die Leute krabbeln um Patches”, sagte er, “und alle möglichen Leute versuchen es auszunutzen.” Er sagte am Freitagmorgen, dass der Fehler in den 12 Stunden seit der Veröffentlichung des Fehlers „vollständig waffenfähig“ geworden sei, was bedeutet, dass Übeltäter Werkzeuge entwickelt und verteilt hätten, um ihn auszunutzen.
Der Fehler, der als „Log4Shell“ bezeichnet wird, ist möglicherweise die schlimmste Computerschwachstelle, die seit Jahren entdeckt wurde. Es wurde in einem Open-Source-Protokollierungstool entdeckt, das in Cloud-Servern und Unternehmenssoftware allgegenwärtig ist, die in der gesamten Branche und in der Regierung verwendet werden. Sofern es nicht behoben wird, bietet es Kriminellen, Spionen und Programmieranfängern gleichermaßen einfachen Zugang zu internen Netzwerken, in denen sie wertvolle Daten plündern, Malware installieren, wichtige Informationen löschen und vieles mehr.
„Mir fällt es schwer, mir ein Unternehmen vorzustellen, das nicht gefährdet ist“, sagt Joe Sullivan, Chief Security Officer von Cloudflare, dessen Online-Infrastruktur Websites vor böswilligen Akteuren schützt. Unzählige Millionen von Servern haben es installiert und Experten sagten, dass der Fallout erst in mehreren Tagen bekannt sein würde.
Amit Yoran, CEO des Cybersicherheitsunternehmens Tenable, nannte sie „die größte und kritischste Schwachstelle des letzten Jahrzehnts“ – und möglicherweise die größte in der Geschichte des modernen Computers.
Die Schwachstelle wurde von der Apache Software Foundation, die die Entwicklung der Software überwacht, auf einer Skala von eins bis 10 mit 10 bewertet. Jeder mit dem Exploit kann vollen Zugriff auf einen ungepatchten Computer erhalten, der die Software verwendet.
Experten sagen, dass die Sicherheitsanfälligkeit einem Angreifer den Zugriff auf einen Webserver ermöglicht – ohne dass ein Passwort erforderlich ist –, was sie so gefährlich macht.
Das neuseeländische Computer-Notfallteam gehörte zu den ersten, die nur wenige Stunden nach der öffentlichen Meldung am Donnerstag und der Veröffentlichung eines Patches berichteten, dass der Fehler „aktiv in freier Wildbahn“ ausgenutzt wurde.
Die Schwachstelle, die sich in Open-Source-Apache-Software befindet, die zum Ausführen von Websites und anderen Webdiensten verwendet wird, wurde der Stiftung am 24. November vom chinesischen Technologieriesen Alibaba gemeldet, hieß es. Es dauerte zwei Wochen, um einen Fix zu entwickeln und zu veröffentlichen.
Das Patchen von Systemen auf der ganzen Welt kann jedoch eine komplizierte Aufgabe sein. Während die meisten Organisationen und Cloud-Anbieter wie Amazon Web Services in der Lage sein sollten, ihre Webserver einfach zu aktualisieren, ist dieselbe Apache-Software oft auch in Programme von Drittanbietern eingebettet, die nur von ihren Besitzern aktualisiert werden können.
Yoran sagte, Unternehmen müssten davon ausgehen, dass sie kompromittiert wurden, und schnell handeln.
Die ersten offensichtlichen Anzeichen für die Ausnutzung des Fehlers traten in Minecraft auf, einem Online-Spiel, das bei Kindern sehr beliebt ist und sich im Besitz von Microsoft befindet. Meyers und der Sicherheitsexperte Marcus Hutchins sagten, Minecraft-Benutzer würden es bereits verwenden, um Programme auf den Computern anderer Benutzer auszuführen, indem sie eine kurze Nachricht in eine Chat-Box einfügen.
Microsoft gab an, ein Software-Update für Minecraft-Benutzer herausgegeben zu haben. „Kunden, die den Fix anwenden, sind geschützt“, hieß es.
Forscher berichteten, dass sie Beweise dafür gefunden haben, dass die Sicherheitsanfälligkeit in Servern von Unternehmen wie Apple, Amazon, Twitter und Cloudflare ausgenutzt werden könnte.
Sullivan von Cloudflare sagte, es gebe keine Hinweise auf eine Kompromittierung der Server seines Unternehmens. Apple, Amazon und Twitter reagierten nicht sofort auf Anfragen nach Kommentaren.