Log4j: Warnung vor extrem gefährlicher Sicherheitslücke
Dieser Artikel ist älter als ein Jahr!
Am Freitag wurde bekannt, dass es eine Zero-Day-Lücke in der Java-Bibliothek Log4j gibt. Bei Log4j handelt es sich um eine Open-Source-Software. Diese ist weit verbreitet, wie die futurezone bereits berichtet hat. Log4j ist in eine Vielzahl beliebter Frameworks integriert, darunter Apache Struts2, Apache Solr, Apache Druid und Apache Flink.
Das bedeutet, dass eine enorme Anzahl von Anwendungen von Drittanbietern dafür anfällig sein können. Auch große Unternehmen wie Steam, Apple, Twitter und Amazon sollen von dem ernstzunehmenden Sicherheitsrisiko nicht ausgeschlossen sein. Viele Heimanwender und Firmen sind gleichermaßen davon betroffen.
Höchste Warnstufe
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat deshalb Alarmstufe rot ausgerufen und die Lücke auf die höchste Warnstufe hochgestuft. Man habe beobachtet, dass die Schwachstelle ohne explizites Nachladen von Schadcode ausgenutzt werden könne, heißt es in der Aussendung des BSI. Die Schwachstelle ist trivial ausnutzbar, ein Proof-of-Concept ist öffentlich verfügbar, so das BSI.
Das Problematische daran: Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems. „Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet“, heißt es in der Aussendung des BSI.
Zahlreiche Angriffe im Gange
„Der entscheidende Punkt bei der Log4j-Attacke ist, dass der Server automatisch Code ausführt. Was auch immer ein*e Angreifer*in einem Server mit der Sicherheitslücke auftragen will, er/sie kann es tun. Deshalb ist es enorm wichtig, so schnell wie möglich zu patchen, denn viele Leute da draußen, die nichts Gutes im Sinn haben, versuchen bereits auszutesten, welche Server noch angreifbar sind", sagt Paul Ducklin, IT-Security-Experte bei Sophos.
Alle Produkte müssen angepasst werden
Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Laut dem BSI sei es derzeit „nicht überschaubar“, für welche Produkte es bereits Updates gibt, und für welche nicht.
Für Betreiber*innen von IT-Softwareprojekten ist es außerdem oftmals nicht so einfach, herauszufinden, welche Anwendungen Log4j ausnutzen. Cloudflare beschrieb in einem Blogeintrag, wie sie selbst dabei vorgegangen sind, um damit anderen Unternehmen und IT-Betreiber*innen zu helfen, alle Anwendungen zu finden.
Was tun neben akuten Maßnahmen?
Die Log4j-Lücke bedeutet nicht nur Alarmstufe Rot für Unternehmen, sondern auch private Nutzer*innen können von den Auswirkungen der Lücke betroffen sein, erklärt Sophos. Das gilt vor allem dann, wenn Privatpersonen Cloud-Server nutzen, die von einem Hosting-Unternehmen oder einem anderen Managed-Service-Provider betrieben werden – sei es ein Blog, ein Forum oder die Familienwebsite. Hier gilt es nun zunächst einmal herauszufinden, ob diese Services angreifbar und wann Patches geplant sind.
Für User*innen und Firmen gilt: Sobald Updates für einzelne Produkte verfügbar sind, sollten diese eingespielt werden. Für Firmen gilt darüberhinaus: Alle Systeme sollten auf eine Kompromittierung hin untersucht werden, die verwundbar waren, denn die Sicherheitslücke wird bereits aktiv ausgenutzt.
Als akute Maßnahmen empfiehlt das BSI, nicht zwingend benötigte Systeme abzuschalten sowie Netzwerke zu segmentieren, um verwundbare Systeme zu isolieren. Weitere Tipps gibt es auch bei CERT.at. Auch Lizenzgeber Apache hat eine Anleitung veröffentlicht, was zu tun ist.
Kommentare