Log4j: Der wachsame Chinese, die tapferen Apachen, und unser Weihnachten

24.11.2021: Der Software-Entwickler Chen Zhaojun vom chinesischen Cloud-Giganten Alibaba entdeckt die Cyber-Schwachstelle des Jahres 2021. Im weltweit eingesetzten, höchst populären Open Source Programm Log4j der Apache Foundation. Unser Held Chen meldet sie, wie es jeder verantwortungsbewusste Code-Entwickler tun würde, zu Apache, in die USA. Wenige Tage später registriert er bereits erste Ausnutzungen durch (oha: chinesische) Hacker, und benachrichtigt Apache erneut, man ‚möge sich beeilen‘ mit dem Patch. Ein Held ist er tatsächlich; verbietet doch das Chinese Cyber Security Law CCSL eine mit den Behörden unabgestimmte Meldung von Zero-Day Schwachstellen an jedermann, insbesondere im Ausland. Sein Arbeitgeber Alibaba wird dann auch, einen Monat später, einen öffentlich angeordneten Boykott durch nationale staatliche Organisationen erleiden. Wer fühlt sich hier nicht an Tencent, und das monatelange Verschwinden des Gründers Jack Ma vor einem Jahr erinnert.

Den ersten Patch für die Kalamität veröffentlicht Apache kurz danach, am 9.12.2021. Notfall-Workarounds ebenso. Beide Abhilfen sind jedoch unvollständig. Sie geben keine Sicherheit.

Die Warnungen vor aktiver Ausnutzung überschlagen sich nun in den folgenden Tagen; das deutsche Bundesamt für Sicherheit in der Informationstechnik setzt die Warnstufe ‚Gelb‘ am Freitag, dem 10.12.2021 und stuft am Sonntag auf ‚Rot‘. Ein seltener Vorgang.

Im Bundesverband der IT-Anwender, VOICE e.V., warnen wir am Montag per Flash-Report. Eine Notfall-Konferenz der Mitgliedsunternehmen des Verbandes kommt zwei Tage später online zusammen. Spät abends, mit 175 Teilnehmern, meist CIOs und CISOs.

In den folgenden Tagen rollt nun die wohl größte Welle seit Langem, sicher aber für das Jahr 2021 an. Fast täglich folgen ‚Patche von Apache‘, die die immer noch vorhandenen Lücken schließen sollen. Und die Ausnutzung schreitet derweil fort. Am Montag, dem 20.12.2021, dem ersten Arbeitstag der Weihnachtswoche taucht zu allem Unglück nun auch noch ein vermutlich wurmfähiger, sich selbst verbreitender, Schadcode auf im weltweiten Netz.  Ein großer Firewall-Anbieter spricht zwischenzeitlich von weltweit über 100.000 Angriffsversuchen pro Sekunde auf die von ihm überwachten Geräte.

Zum vorläufigen Stillstand gelangt die Patch-Welle (mit der Version 2.17) am 27.12.2021, dem Tag nach unserem christlichen Weihnachten.

Tausende IT-Sicherheitsverantwortliche und -Fachleute in aller Welt ermitteln fieberhaft weiter, in welchen noch so entfernten Code-Bestandteilen ihrer komplexen Konzern-IT-Infrastrukturen Log4j versteckt sein könnte, um auch diese Stelle zu patchen.

Wie im Brennglas spiegeln sich hier Chance und Risiko der Open Source-Nutzung wider. Aber neidlos wird man konzedieren: die nur gut vier Wochen Rekonvaleszenz zwischen erster Schwachstellenmeldung (24.11.) und dem letzten Patch (27.12.) erreichen viele proprietäre Softwareprodukte der großen, oft amerikanischen, Hersteller bei Weitem nicht.

So verlief also unser Weihnachtsmonat Dezember. Betrachten wir die Kalamität zum Abschluss mit ein wenig Humor: Dem wachsamen Chinesen Chen können wir dankbar sein, dass er gemeldet hat. Den tapferen Apachen danken wir, dass sie so schnell Patch um Patch veröffentlicht haben. Aber: unser (christliches) Weihnachtsfest war beeinträchtigt, nämlich durch die fieberhafte Suche nach den Nadeln im Heuhaufen, durch aufgebautes Notfall-Monitoring, Bereitschafts-Kapazität und die  - nicht nur gefühlte -  Unsicherheit.

Was bleibt zu hoffen: dass die Sicherheit bis Ende Januar wieder hergestellt ist. Denn: am 1. Februar 2022 beginnt – das (chinesische) Weihnachtsfest. Wir wünschen Herrn Chen ein solches!

Verfasser: Dirk Michael Ockel