CISPA Start-up CodeShield entwickelt log4Shell-Detektionstool
Vor rund einer Woche wurde die kritische IT-Sicherheitslücke log4shell entdeckt, die es Angreifer:innen erlaubt, Schadsoftware auf Server zu schleusen. Die Daten auf den betroffenen Servern können so manipuliert oder gestohlen werden. Dadurch können Online-Dienste gänzlich lahmgelegt werden, so die Befürchtung von Sicherheitsexpert:innen. Betroffen sind vor allem Unternehmen und Behörden, darunter auch große Unternehmen wie Twitter, Tesla und Amazon. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat inzwischen eine Cyber-Sicherheitswarnung der höchsten Stufe veröffentlicht. Die Gefahr, dass die Schwachstelle aktiv ausgenutzt werde, schätzt die Behörde als „sehr hoch“. Noch ist die genaue Zahl der betroffenen Softwareprodukte und Onlineanwendungen allerdings nicht bekannt. Sicherheitsexpert:innen rechnen aber mit einem gewaltigen Ausmaß, da die Sicherheitslücke in der viel verwendeten Programmbibliothek Log4j steckt, die der Schwachstelle ihren Namen gibt.
Programmbibliotheken kann man sich wie eine Art Code-Baukasten für Entwickler:innen vorstellen. Einfache Befehle müssen so nicht immer wieder neu programmiert werden, sondern können als fertige Bausteine in den Code eingebettet werden. Log4j wird in vielen Java-Anwendungen eingesetzt und protokolliert die Aktivitäten eines Programmes, während es läuft. So können später zum Beispiel Fehler ausgewertet werden. „Jedes Unternehmen, dass eine Java-Software betreibt, ob in der eigenen Infrastruktur oder in der Cloud, muss jetzt umgehend handeln und prüfen, ob es von der Sicherheitslücke betroffen ist“, erklärt Johannes Späth.
Johannes Späth ist einer der Gründer des CISPA-Start-up CodeShield. Zusammen mit seinem Team hat er am vergangenen Wochenende wie viele IT-Sicherheitsforscher:innen und -expert:innen über mögliche Problemlösungen nachgedacht. Herausgekommen ist ein Tool, das Computersysteme auf die Sicherheitslücke untersuchen kann. Der Log4jShell Bytecode Detector analysiert sogenannte JAR-Dateien. „JAR-Dateien sind kompilierte Java-Programme. Zugriff auf den Sourcecode benötigt das Tool daher nicht. Das ist insbesondere relevant für Software, die nicht im eigenen Unternehmen entwickelt wurde, also Drittanbietersoftware.“
Wer von der Sicherheitslücke betroffen ist, muss dringend Updates einspielen, sagte CISPA-Faculty Thorsten Holz im hr-inFO-Radio-Interview. Entsprechende Patches für die quelloffene Programmbibliothek wurden bereits veröffentlicht. Wo eine Aktualisierung noch nicht möglich sei, müssten die Systeme speziell überwacht werden, so Holz. Wie oft und von wem die Schwachstelle bereits ausgenutzt wurde, sei noch nicht klar. Zuerst entdeckt wurde log4jShell auf Servern des Online-Spiels Minecraft.
Das Team von CodeShield arbeitet derweil stetig an der Verbesserung des Bytecode Detectors. Mit der Detektion von Sicherheitslücken kannte sich das junge Unternehmen schon vorher bestens aus. Sein Kerngeschäft ist es Cloud-Infrastrukturen auf Schwachstellen zu analysieren. CodeShield verbindet sich direkt mit dem Cloud-Anbieter und analysiert Cloud-Anwendungen auf mögliche Risiken, beispielsweise welche Cloud-Ressourcen direkt öffentlich erreichbar sind und welche Sicherheitslücken diese enthalten.
Bis die Sicherheitslücke bei allen betroffenen Anwendungen behoben ist, wird es noch einige Zeit dauern. Log4shell könnte uns also noch einige Wochen und Monate begleiten.
https://github.com/CodeShield-Security/Log4JShell-Bytecode-Detector