Support: +49 (0)209 38642-22        Supportfall melden

Auf Log4j folgt H2

Erst am 10. Dezember des vergangenen Jahres wurde die Sicherheitslücke Log4Shell bekannt, die zu den größten und weitreichendsten Bedrohungen der letzten Jahre gezählt wird. Sie bezeichnet die Schwachstelle CVE-2021-44228 in der Java-Logging-Bibliothek Log4j, die es auf sehr einfache Weise ermöglicht, Schadcode von einem externen Server nachzuladen oder sogar mit der ersten Anfrage mitzuschicken.

Log4j selbst stellt etliche Funktionen in Bezug auf die Sammlung und Verarbeitung der Protokolldaten von Java Anwendungen zur Verfügung. Dazu wurde die Bibliothek 2013 um einen JNDI-Handler (Java Naming and Directory Interface) erweitert, der unter anderem Funktionen implementierte, automatisiert oder über eine einfache Anweisung Konfigurationsdateien von entfernten Servern nachzuladen. Da die Sicherheitslücke seit 2013 besteht und ein breites Spektrum an Geräten von Servern über Router bis hin zu Smart Home Devices bedroht, hatte das Bundesamt für Sicherheit in der Informationstechnik BSI die Schwachstelle bei Bekanntwerden direkt mit der zweithöchsten Warnstufe "3/Gelb", eingestuft.

Dass sie das Eindringen in Systeme mit einer einfachen Zeichenkette ermöglicht, veranlasste das BSI kurze Zeit später, die Warnstufe auf "4/Rot" und damit auf die höchste IT-Bedrohungslage zu erhöhen. Experten sprechen bei den Log4Shell-Attacken von der Spitze des Eisbergs, da die meisten Angreifer die Sicherheitslücke ihrer Meinung nach nur genutzt haben, um sich Hintertüren für die angegriffenen Systemen zu schaffen. Sie rechnen erst in den kommenden Monaten mit der Ausnutzung der Hintertüren für Datendiebstähle und Ransomware-Angriffe.

Mitten in dieser erhöhten Bedrohungslage haben Forscher eine weitere Sicherheitslücke entdeckt, die zwar nicht die Reichweite von Log4Shell haben wird, aber ein ebenso hohes Schadenspotential hat. CVE-2021-42392 nutzt die gleiche Methode wie Log4Shell, Angriffspunkt ist hier aber die H2-Datenbank. H2 ist ein in Java geschriebenes, relationales Open-Source-Datenbankmanagementsystem, das in Anwendungen eingebettet oder in einem Client-Server-Modus ausgeführt werden kann. Zur einfacheren Verwaltung enthält es eine eingebettete webbasierte Konsole, die standardmäßig über http://localhost:8082 verfügbar ist. Auch hier wird die Möglichkeit der JNDI-API, benötigte Dateien von entfernten Servern laden zu können, missbraucht, indem bösartige URLs in eine JNDI-Abfrage eingeschleust werden. Dies wiederum ermöglicht den Angreifern eine unautorisierte Remotecodeausführung (RCE). Der Fehler betrifft die H2-Datenbankversionen 1.1.100 bis 2.0.204 und kann mit einem Update auf Version 2.0.206, die am 5. Januar 2022 herausgegeben wurde, behoben werden. Durch das Update wird das Nachladen von Daten auf lokale Datenquellen beschränkt.

Diese beiden Sicherheitslücken verdeutlichen ein weiteres Mal die Notwendigkeit, Systeme immer auf dem neusten Stand zu halten und dabei alle Geräte zu berücksichtigen, die internetfähig sind. Wenn Sie Unterstützung bei der Wartung Ihrer Systeme benötigen, sprechen Sie uns an.