Minecraft
© futurezone

Digital Life

Sicherheitslücke bedroht weite Teile des Internets

Wie Ars Technica berichtet, wurde ein Exploit-Code veröffentlicht, mit dem eine schwerwiegende Sicherheitslücke in Log4j, einem vielgenutztem Open-Source-Protokollierungsprogramm, genutzt werden kann. Somit können Angreifer einen beliebigen Code ausführen lassen.

Die Sicherheitslücke wurde zuerst auf Websites bekannt, die sich an Nutzer*innen von Minecraft, dem meistverkauften Spiel aller Zeiten, richten. Dort wurde gewarnt, dass Hacker*innen bösartigen Code auf Servern oder Clients ausführen könnten, auf denen die Java-Version von Minecraft läuft. "Ich vermute, dass die betroffenen Anwendungen und Geräte noch lange identifiziert werden", sagte H. D. Moore, Gründer und CTO der Netzwerkerkennungsplattform Rumble. "Dies ist eine große Sache für Umgebungen, die an ältere Java-Laufzeiten gebunden sind.

Viele Systeme betroffen

Log4j ist in eine Vielzahl beliebter Frameworks integriert, darunter Apache Struts2, Apache Solr, Apache Druid und Apache Flink. Das bedeutet, dass eine enorme Anzahl von Anwendungen von Drittanbietern ebenfalls für Schwachstellen anfällig sein können, die denselben hohen Schweregrad aufweisen wie die, die Minecraft-Nutzer*innen bedrohen. Laut einem Github-Nutzer, der verwundbare Dienste und Programme sammelt und mit Screenshots belegt, sind auch große Unternehmen wie Steam, Apple, Twitter und Amazon sollen von dem ernstzunehmenden Sicherheitsrisiko nicht ausgeschlossen.

Eine der wenigen frühen Quellen, die eine Tracking-Nummer für die Schwachstelle bereitstellten, war Github, wo es hieß, dass es sich um CVE-2021-44228 handelt. LunaSec nach, sind Java-Versionen größer als 6u211, 7u201, 8u191 und 11.0.1 nicht von diesem Angriffsvektor betroffen.

Im Spigot-Gaming-Forum heißt es, dass die Minecraft-Versionen 1.8.8 bis zur aktuellen Version 1.18 anfällig sind, ebenso wie andere beliebte Spieleserver wie Wynncraft. Ältere Java-Versionen haben scheinbar weniger integrierte Sicherheitsvorkehrungen, die das Ausnutzen der Schwachstelle erleichtern.

US-ENTERTAINMENT-INTERNET-GAMES-COMPUTERS

Laut Microsoft, sollen bisher 238 Millionen Exemplare von Minecraft in fast allen Ländern und Gebieten der Welt verkauft worden sein. Dazu zähle sogar die Antarktis und die Vatikanstadt.

Die Spieleserver- und Nachrichtenseite Hypixel rief Minecraft-Spieler*innen dazu auf, besonders vorsichtig zu sein. "Das Problem kann einen Fernzugriff auf Ihren Computer über die Server ermöglichen, bei denen Sie sich anmelden", schreiben Vertreter*innen der Seite. "Das bedeutet, dass jeder öffentliche Server, auf den du gehst, das Risiko birgt, gehackt zu werden."

Eine andere ähnlich hochgradig gefährliche Schwachstelle in dem Open-Source-Framework „Struts“ führte 2017 zur Kompromittierung des Finanzunternehmens Equifax. Dabei wurden sensible Daten von mehr als 143 Millionen US-Verbraucher*innen preisgegeben.

Bedrohung neutralisieren

Cyber Kendra sagte, dass das Sicherheitsteam von Alibaba Cloud im November eine Schwachstelle in Log4j2 - dem Nachfolger von Log4j - aufgedeckt hat, die von rekursiven Analysefunktionen herrührt, die Angreifer*innen ausnutzen können, indem sie bösartige Anfragen konstruieren, die eine Remotecodeausführung auslösen. Das Unternehmen riet dringend dazu, die neueste Version von Log4j2 zu verwenden.

Das Hinzufügen des JVM-Flags -Dlog4j2.formatMsgNoLookups=true neutralisiert die Bedrohung für die meisten Java-Versionen. Spigot und viele andere Dienste haben den Flag bereits in die Spiele eingefügt, die sie den Benutzer*innen zur Verfügung stellen.

Um die Markierung selbst hinzuzufügen, sollten Benutzer zu ihrem Launcher gehen, die Registerkarte Installationen öffnen, die verwendete Installation auswählen und auf "..." > "Bearbeiten" > "MEHR OPTIONEN" klicken und -Dlog4j2.formatMsgNoLookups=true am Ende der JVM-Flags einfügen.

Bis auf Weiteres sollte man diese Sicherheitslücke und ihrem Potenzial, eine Vielzahl von Anwendungen und Diensten anzugreifen, im Auge behalten. Für Minecraft-Benutzer*innen bedeutet das, dass sie sich von unbekannten Servern oder nicht vertrauenswürdigen Benutzer*innen fernhalten sollten. Für Benutzer*innen von Open-Source-Software bedeutet es, zu überprüfen, ob sie Log4j oder Log4j2 für die Protokollierung verwenden.

Hat dir der Artikel gefallen? Jetzt teilen!

Kommentare