Sie haben Fragen?

info@8com.de
+49 6321 48446-0

Log4Shell: Kritische Schwachstelle in Java-Bibliothek log4j

14. Dezember 2021

Am Wochenende hat das Bundesamt für Sicherheit in der Informationstechnik (BSI), eine bereits bestehende Sicherheitswarnung zur Schwachstelle Log4Shell auf die Warnstufe Rot hochgestuft. Die kritische Schwachstelle sitzt in der Java-Bibliothek log4j. Die Nutzung dieser Logging-Bibliothek in Java-basierten Anwendungen ist sehr verbreitet, weswegen die Anzahl potenzieller Opfer besonders hoch ist. Das genaue Ausmaß ist jedoch aktuell weder bekannt noch absehbar.

Die Brisanz der Lage zeigt sich in der Pressemitteilung des BSI, wo zu lesen ist:
„Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet.“

Die Gefahr durch die Schwachstelle ist sehr groß, da der Exploit Code zu deren Ausnutzung bereits öffentlich zugänglich ist und eine niedrige Komplexität aufweist. Im Falle einer erfolgreichen Ausnutzung, kann das kompromittierte System vollständig vom Angreifer übernommen werden. So können auch weitere Systeme in Gefahr geraten. Denkbar ist u. a. ein Ransomware-Angriff, der log4j lediglich als Türöffner nutzt.

Ein Sicherheitsupdate, das die Schwachstelle beseitigt, ist bereits vorhanden, d. h. log4j sollte unbedingt unverzüglich auf die Version 2.15.0 geupdatet werden. Dies reicht jedoch nicht aus, da auch sämtliche Produkte, die mit der Bibliothek log4j arbeiten, geprüft und ggf. angepasst werden müssen. Daher erwartet das BSI in den kommenden Tagen noch Erkenntnisse zu weiteren Software-Produkten, die durch die Schwachstelle verwundbar sind. Bereits bekannt ist, dass mindestens die folgenden Anwendungen aus dem Hause Apache betroffen sind: Tomcat, Druid, Flink, Solr, Spark und Struts2.

Für Unternehmen ist es jetzt also wichtig, das Sicherheitsupdate einzuspielen und intern zu prüfen, wo die Java-Bibliothek ebenfalls verwendet wird. Die internen IT-Abteilungen und externen IT-Dienstleister dürften im Moment rotieren. Für möglicherweise verwundbare Systeme gilt:

  1. Zugriff von außen unterbinden
  2. Patchen und dann den Service neustarten
  3. Auf Anzeichen einer bereits erfolgten Kompromittierung prüfen
  4. Über weitere Schutzmaßnahmen (z. B. eine Web Application Firewall oder Outbound Firewall) nachdenken
  5. Zugriff von außen wieder zulassen

Glück hat, wer bereits entsprechende Detektionssysteme in Betrieb hat. Hier rät das BSI die Detektions- und Reaktionsfähigkeiten kurzfristig zu erhöhen, um die eigenen Systeme angemessen überwachen zu können.

Bild (c) Elchinator / Pixabay

Zurück zur Blog-übersicht
Alle Mitarbeiter-Interviews