Was ist Log4j?
Was beschreibt die Lücke?
Durch dem Webserver übergebene Zeichenfolgen kann Log4j beliebig manipuliert werden. Durch bestimmte, mittlerweile weit verbreitete und beliebig gestaltbare Zeichenketten nimmt Log4j Befehle von außerhalb entgegen und führt diese auf dem Server aus.
Allein damit lassen sich Schwachstellen aktivieren und gesamte Systeme sehr einfach übernehmen. Auf diese Weise kann weitere Schadsoftware eingeschleust werden. Das größte Problem hierbei ist, dass alles was protokolliert wird, potentiell gefährlich ist. Zum Beispiel wie in folgendem Szenario: Angreifer:innen wollen bei Apple in der iCloud (Nutzung Log4j) einen Schadcode einschleusen? Kein Problem. Das iPhone wird nach einem bestimmten Schema benannt und der Angriff kann losgehen. Diese Sicherheitslücke ist inzwischen geschlossen.
Doch ist es wirklich so schlimm?
Die Schwachstelle an sich ist hochgradig kritisch. Die große Menge an Einfallstoren und die Einfachheit der Lücke zeigt sehr kurzfristig erste Attacken. Dadurch, dass das Einfallstor so simpel ist und sich Protokollierungen nicht so einfach abschalten lassen, gibt es unfassbar viele anfällige Systeme im Netz. Die massive Verbreitung von Java sowie der veröffentlichte Proof-of-Concept (PoC) tun ihr übriges dazu. Man sollte aber trotz der Bedrohung nicht in Panik verfallen. Man darf nicht vergessen, dass es vorrangig um aus dem Internet erreichbare Systeme geht. Erste Patches und Versionsupdates versprechen schnelle Abhilfe, wie Apache über eine Sicherheitsmeldung informiert.
Das BSI empfiehlt folgende Sofortmaßnahmen:
- Führen Sie das Update auf die aktuelle Version 2.15.0 von "Log4j" schnellstmöglich in allen Anwendungen durch
- Spielen Sie Updates Ihrer übrigen Geräte und Dienste ein, sobald sie zur Verfügung stehen
- Schalten Sie nicht zwingend benötigte Systeme ab
- Prüfen Sie, mit welchen Rechten die betroffenen Dienste versehen sind und reduzieren Sie diese auf das notwendige Minimum
- Server sollten generell nur solche Verbindungen (insbesondere in das Internet) aufbauen dürfen, die für den Einsatzzweck zwingend notwendig sind
Angesichts des Schweregrads und der weiten Verbreitung dieser Sicherheitslücke wird dringend empfohlen, das Vorhandensein beziehungsweise die Verwendung von Log4j in allen Anwendungen, Systemen und Diensten in der Umgebung von IT-Sicherheitsexpert:innen überprüfen zu lassen und ggf. für Serveranwendungen Updates durchführen zu lassen.
Weitere Informationen im Webinar
Bitte füllen Sie alle Pflichtfelder aus.