Geschichte einer IT-Sicherheitsschwachstelle zum Jahreswechsel 2021/22
Der Software-Entwickler Chen Zhaojun vom chinesischen Cloud-Giganten Alibaba entdeckt die Cyber-Schwachstelle des Jahres 2021 – im weltweit eingesetzten, höchst populären Open Source Programm Log4j der Apache Foundation. Unser Held Chen meldet sie, wie es jeder verantwortungsbewusste Code-Entwickler tun würde, zu Apache, in die USA. Wenige Tage später registriert er bereits erste Ausnutzungen durch (oha: chinesische) Hacker, und benachrichtigt Apache erneut: man ‚möge sich beeilen‘ mit dem Patch. Ein Held ist er tatsächlich; verbietet doch das Chinese Cyber Security Law CCSL eine mit den Behörden unabgestimmte Meldung von Zero-Day Schwachstellen an jedermann, insbesondere im Ausland. Sein Arbeitgeber Alibaba sürt jedenfalls die Auswirkungen. Einen Monat später wird ein Boykott durch staatliche Organisationen angekündigt.
Den ersten Patch für die Kalamität veröffentlicht Apache kurz danach, am 9.12.2021. Notfall-Workarounds ebenso. Beide Abhilfen sind jedoch unvollständig. Sie geben keine Sicherheit.
Die Warnungen vor aktiver Ausnutzung überschlagen sich nun in den folgenden Tagen; das deutsche Bundesamt für Sicherheit in der Informationstechnik setzt die Warnstufe ‚Gelb‘ am Freitag, dem 10.12.2021 und stuft am Sonntag auf ‚Rot‘. Ein seltener Vorgang.
VOICE-Mitglieder treffen sich zur “Notfall”-Konferenz
Im Bundesverband der IT-Anwender, VOICE e.V., warnen wir am Montag per Flash-Report. Eine “Notfall”-Konferenz der Mitgliedsunternehmen des Verbandes kommt zwei Tage später ab 18:00 Uhr online zusammen.
In den folgenden Tagen rollt nun die wohl größte Patch-Welle seit Langem, sicher aber für das Jahr 2021 an. Fast täglich folgen ‚Patches von Apache‘, die die immer noch vorhandenen Lücken schließen sollen. Und die Ausnutzung schreitet derweil fort. Am Montag, dem 20.12.2021, dem ersten Arbeitstag der Weihnachtswoche taucht zu allem Unglück nun auch noch ein vermutlich wurmfähiger, sich selbst verbreitender Schadcode im weltweiten Netz auf. Ein großer Firewall-Anbieter spricht zwischenzeitlich von weltweit über 100.000 Angriffsversuchen pro Sekunde auf die von ihm überwachten Geräte.
Zum vorläufigen Stillstand gelangt die Patch-Welle (mit der Version 2.17) am 27.12.2021, dem Tag nach unserem christlichen Weihnachten.
Tausende IT-Sicherheitsverantwortliche und -Fachleute in aller Welt ermitteln fieberhaft weiter, in welchen noch so entfernten Code-Bestandteilen ihrer komplexen Konzern-IT-Infrastrukturen Log4j versteckt sein könnte, um auch diese Stelle zu patchen.
Brennglas für Chancen und Risiken von Opensource
Wie im Brennglas spiegeln sich hier Chancen und Risiken der Opensource-Nutzung wider. Aber neidlos wird man konzedieren: die nur gut vier Wochen dauernde Rekonvaleszenz zwischen erster Schwachstellenmeldung (24.11.) und dem letzten Patch (27.12.) erreichen viele proprietäre Softwareprodukte der großen, oft amerikanischen, Hersteller bei Weitem nicht.
So verlief also unser Weihnachtsmonat Dezember. Betrachten wir die Kalamität zum Abschluss mit ein wenig Humor: Dem wachsamen Chinesen Chen können wir dankbar sein, dass er gemeldet hat. Den tapferen Apachen danken wir, dass sie so schnell Patch um Patch veröffentlicht haben. Aber: unser (christliches) Weihnachtsfest war beeinträchtigt, nämlich durch die fieberhafte Suche nach den Nadeln im Heuhaufen, durch aufgebautes Notfall-Monitoring, Bereitschafts-Kapazität und die – nicht nur gefühlte – Unsicherheit.
Was bleibt zu hoffen: dass die Sicherheit bis Ende Januar wieder hergestellt ist. Denn: am 1. Februar 2022 beginnt – das (chinesische) Weihnachtsfest. Wir wünschen Herrn Chen ein solches!