Sicherheitslücke „Log4Shell“ gefährdet Systeme weltweit

Seit dem 10.12.2021 warnt das BSI vor einer extrem kritischen Bedrohung in der Java-Bibliothek „Log4j“. Die Sicherheitslücke (CVE-2021-44228) hat den Namen „Log4Shell“ erhalten und betrifft eventuell global mehrere Milliarden Computer.

„Log4j“ ist eine weit verbreitete Bibliothek für Java-Anwendungen. Eine Bibliothek ist Software, die zur Umsetzung einer bestimmten Funktionalität in weitere Produkte eingebunden wird. Sie ist daher oftmals tief in der Architektur von Software-Produkten verankert. Die Bibliothek „Log4j“ stellt zum Beispiel Funktionalitäten zur Protokollierung von Programmaktivitäten zur Verfügung. Diese Protokolle dienen oft der Fehlersuche und sind deshalb in Software üblich. Da „Log4j“ diese Meldungen bislang schnell und effizient verwaltet hat, wurde die Bibliothek von vielen Systemadministratoren und Programmierern auf der ganzen Welt in Systeme eingebaut. Sicherheitslücke „Log4Shell“ gefährdet Systeme weltweit!

Die größte Gefahr stellt die Schwachstelle „Log4Shell“ für Betreiber von Servern und Rechenzentren dar. Dennoch können Verbraucherinnen und Verbraucher betroffen sein, zum Beispiel wenn auf privaten Geräten verwundbare Log4j-Versionen eingesetzt werden. Selbst wenn nicht, können Anwenderinnen und Anwender Schaden davontragen, indem ihre Daten gestohlen werden, wichtige Dienste ausfallen oder Ihre Systeme infiziert werden:

Sofern die Hersteller Ihrer IT, Ihrer Betriebssysteme oder Ihrer installierten Programme Updates zur Verfügung stellen, sollten Sie diese umgehend installieren.

Warum ist die Schwachstelle „Log4Shell“ so gefährlich?

Die Schwachstelle „Log4Shell“ ermöglicht Cyber-Kriminellen, Eingaben etwa auf einem Zielserver vorzunehmen, um dann Schadsoftware auszuführen oder sogar die Kontrolle über das gesamte System zu übernehmen. Das geht auf einfachste Weise, z. B. durch spezielle Befehle in einem Chat oder einer Konsole, sodass das attackierte System jegliche Eingaben des Angreifers zulässt und er schließlich die Kontrolle über die Funktionen und Daten erlangt, die auf diesem System gespeichert sind.

Im populären Online-Videospiel Minecraft beispielsweise sollen Kriminelle die Lücke auf gewissen Servern ausnutzen können, indem sie lediglich bestimmte Chat-Nachrichten eingeben. Damit könnten sie Spielserver oder Accounts übernehmen und so die IT-Sicherheit der Spielerinnen und Spieler gefährden.

Das bedeutet, dass nun Produkte zahlreicher Internetkonzerne schwerwiegende Sicherheitslücken aufweisen, aber auch diverse Homeoffice-Anwendungen zeitweise als unsicher gelten. Die kritische Schwachstelle „Log4Shell“ hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von „Log4j“ Teile der Nutzeranfragen protokollieren.

Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar. Weltweit führen Cyber-Sicherheitsbehörden, -Unternehmen und CERTs Massenscans durch und entdecken verwundbare Systeme sowie bereits erfolgreich durchgeführte Angriffe. Aktuell ist davon auszugehen, dass „Log4j“ in den Versionen 2.0 bis 2.14.1 die Schwachstelle enthält. Neben großer Rechenzentren und Unternehmensservern können aber auch Netzwerktechnologien und Systemkomponenten „Log4j“ einsetzen, die bei kleinen und mittelständischen Firmen oder bei Verbraucherinnen und Verbrauchern im Betrieb sind. Die Hersteller dieser Systeme stellen teilweise bereits Updates zur Verfügung.

Das könnte ebenso interessieren

Graphenhydroxid: Verschwörungstheorie zu Impfungen. Was hat es mit Graphenhydroxid auf sich? Ist dieses „Zeug“ wirklich in den Impfungen enthalten und zerschneidet uns von innen? Weiterlesen …

via BSI