Alarmstufe Rot für Log4J-Lücke

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die über die Bibliothek Log4J geöffnete Sicherheitslücke mit der höchsten Warnstufe 4/Rot versehen. Das Framework zum Loggen von Anwendungsmeldungen in Java öffnet eine leicht auszunutzende Lücke.

In den Versionen Log4j von 2.0 bis 2.14.1 ermögliche es die Sicherheitslücke, Angreifern auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr ergebe sich dann, wenn Log4j verwendet werde, um eine vom Angreifer eingeschleuste Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren, teilt das BSI mit.

Log4J wird von der Apache Software Foundation gepflegt. Im entsprechenden Github-Forum für Log4j schreibt ein Entwickler, dass auch Version 1.x von Log4J angreifbar sei. Allerdings ist Version 1 der Bibliothek bereits End-of-Life und sollte nicht mehr zum Einsatz kommen.

Ein Proof-of-Concept (PoC) der Schwachstelle wurde auf Github veröffentlicht und auf Twitter geteilt, lässt das BSI weiter wissen. Neben dem PoC gebe es auch Skripte, die Systeme auf Verwundbarkeit hin scannen, teilt das Bundesamt weiter mit. Diese kritische Schwachstelle habe möglicherweise Auswirkungen auf alle aus dem Internet

erreichbaren Java-Anwendungen, die mit Hilfe von Log4j Teile der Nutzeranfragen protokollieren, schreibt das BSI weiter. Aus mehreren CERT-Quellen habe man Benachrichtigungen über weltweite Massenscans erhalten, so das BSI. Es gebe auch Meldungen über erfolgreiche Kompromittierungen, unter anderem mit Kryptominern zum Schürfen von Kryptowährungen. Neben diesen Kompromittierungen gebe es auch Hinweise darauf, dass die Schwachstelle von Botnetzen ausgenutzt werde, was eine zunehmende Angreiferaktivitäten in den nächsten Tagen wahrscheinlich mache.

Auf Github liege inzwischen eine Liste mit Sicherheitswarnungen für Produkte von über 140 Herstellern, so das BSI weiter. Die dort verlinkten Inhalte habe das BSI stichprobenartig verifiziert, die Liste könne als Orientierungshilfe dienen.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben