Die vor kurzem bekannt gewordene kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des BSI zu einer extrem kritischen Bedrohungslage. Das BSI hat daher eine Cyber-Sicherheitswarnung der Warnstufe Rot veröffentlicht.
Sachverhalt:
Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung. Das Blog eines Dienstleisters für IT-Sicherheit [LUN2021] berichtet über die Schwachstelle CVE-2021-44228 [MIT2021] in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent die Felder in einer Webanwendung zu protokollieren. Ein Proof-of-Concept (PoC) zur Ausnutzung der Schwachstelle wurde auf Github veröffentlicht [GIT2021a] und auf Twitter geteilt [TWI2021]. Neben dem PoC existieren auch Beispiele für Skripte, die Systeme stichprobenartig auf Verwundbarkeit hin untersuchen [GIT2021b]. Skripte solcher Art können zwar Administratoren keine Sicherheit über die Verwundbarkeit geben, aber erlauben Angreifern kurzfristig rudimentäre Scans nach verwundbaren Systemen. Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.
Was Sie tun können:
- Aktualisieren der Bibliothek von Betriebssystemen
- Alles Patchen was geht!
- Deaktivieren der Fernabfragen
- Isolieren der Anwendungsserver durch den Einsatz von Firewalls
- …
Indikatoren eines Angriffs:
- hohe CPU-Auslastung auf Systemebene
- unerwartete oder auch ungewollte Konfigurationsänderungen
- unterschiedlichste Logs sowie Befehle sind sichbar
- …
Bitte prüfen Sie, ob auch Sie davon betroffen sind und leiten Sie ggf. notwendige Maßnahmen umgehend in die Wege!
Bildquelle: Beitrag “”log4j” – Kritische Schwachstelle in Java-Bibliothek” – pixabay.com – geralt – mask-g7b87a1f97_1920.jpg