Im Dezember 2021 sorgte die Sicherheitslücke Log4j in dem Logging-Framework von Java für Aufregung. Auch vom BSI wurde die Lage als kritisch eingeschätzt und auf Warnstufe Rot gesetzt. Nachdem sich der Staub gelegt hat, ist bereits der nächste Sicherheitsvorfall aufgetaucht: Was lässt sich aus alldem lernen?
Log4j gilt als absoluter Standard für Logging in Java. Wenngleich das Framework ein unspektakuläres Werkzeug darstellt, war vermutlich genau das der Grund, warum die Komponente Opfer einer eklatanten Sicherheitslücke wurde. Angreifern ergab sich auf triviale Weise die Möglichkeit, beliebige Programmcodes in unzähligen Anwendungen auszuführen. Über technische Details der Sicherheitslücke, das Angriffsmuster sowie Strategien zur Problembewältigung wurde in den vergangenen Wochen von der Fachpresse ausführlich berichtet.
Nun ist eine ähnliche Schwachstelle im Code der H2-Datenbank aufgetaucht. Hierbei handelt es sich um den identischen Mechanismus, der bereits der Logging-Bibliothek Log4j zum Verhängnis wurde. Angreifer haben auch hier die Möglichkeit, URLs zum Laden von Schadcodes an die Schnittstelle zu senden, so dass ein Server-System vollständig übernommen werden kann. Inzwischen wurde zwar ein Update zur Verfügung gestellt, jedoch zeigt dieser Vorfall einmal mehr, wie sehr sich die Bedrohungslage verschärft.
Barracuda Produkte nicht von Sicherheitslücke betroffen
Während unterschiedliche Signaturen die bisher aufgetretenen Varianten erkennen, arbeiten Hersteller von Sicherheitstechnologien konstant an Aktualisierungen, wenn neue Varianten auftauchen. Bisweilen lässt sich feststellen, dass die Produkte des Herstellers Barracuda nicht von der Sicherheitslücke betroffen sind. Hierzu zählen die Web Application Firewall Hardware und virtuelle Geräte, Barracuda CloudGen WAF auf AWS, Azure und GCP Basis, Barracuda WAF-as-a-Service und Barracuda LoadBalancer ADC.
Darüber hinaus wird empfohlen, Ihre Log4J-Installationen mit den neuesten Versionen zu patchen. Denn Sicherheitsprobleme wie bei Log4j nicht zu lösen, kann teuer werden. Die US-Handelsaufsicht FTC (Federal Trade Commission) droht Firmen bereits mit Klagen, wenn sie bekannte Sicherheitsprobleme ignorieren und dies zur Preisgabe von Verbraucherdaten führt. Es bleibt abzuwarten, wann auch hierzulande der Druck auf Unternehmen steigt.