Vor wenigen Stunden wurde eine kritische Schwachstelle in log4j von einem Dienstleister für IT-Sicherheit veröffentlich. Log4j ist eine geläufige Protokollierungsbibliothek für Java-Anwendungen und dient der Protokollierung von Aktivitäten. Die Schwachstelle CVE-2021-44228 in log4j in den Versionen 2.0 bis 2.14.1 ermöglicht Angreifern deren eigenen Programmcode auf ausgewählten Zielservern auszuführen. Auf diese Weise können sie den Zielserver vollständig kompromittieren.
Die wirklichen Ausmaße der Schwachstelle sind bislang nicht realisierbar, weshalb das BSI das aktuelle Risiko auf der CVSS Skala mit dem Höchstwert von 10 einstuft. Auch die IT-Bedrohungslage ist auf 4/Rot geschätzt.Aus mehreren CERT-Quellen wurden bereits weltweite Massenscans und versuchte Kompromittierungen festgestellt.
Wer ist betroffen?
Das BSI sieht eine zunehmende IT-Bedrohung für Geschäftsprozesse und Anwendungen. Zahlreiche Produkthersteller haben Ihre Produkte bereits öffentlich geprüft.
Von der Schwachstelle betroffene Hersteller sind bislang: VMWare, Apache, UniFi. Laut Medienberichten sind auch bekannte Produkte wie Apple Speicherdienst iCloud, Onlinespiel „Minecraft“ und ein System des Herstellers Tesla betroffen. Möglicherweise sind ebenso alle aus dem Internet erreichbaren Java-Anwendungen, die log4j für einen Teil der Protokollierung der Nutzeranfragen nutzen, betroffen.
Ebenso scheint die kritische Schwachstelle für interne Systeme ausnutzbar, sobald diese externen Daten entgegennehmen oder verarbeiten.
Erste Hinweise deuten darauf hin, dass CVE-2021-44228 von Botnetzen ausgenutzt werden. Die Folgen scheinen katastrophal.
Liste mit möglicherweise betroffenen Produkten: Link
Welche Maßnahmen können ergriffen werden?
Eine Standardmaßnahme ist das Update auf die aktuelle Version 2.15.0 von log4j in allen Anwendungen. Kann das Update nicht realisiert werden, so finden sich hier weitere Empfehlungen: Link
