Kritische Sicherheitslücke in Java-Bibliothek «Log4j»

Ende letzter Woche wurde eine Zero-Day-Lücke in der weit verbreiteten Java-Bibliothek «Log4j» bekannt. Die Sicherheitslücke wird als kritisch eingestuft, da die Bibliothek in sehr vielen Java-Anwendungen eingebaut ist.

Log4j
© depositphotos, SWEviL

Letzten Freitag erhielt das NCSC Meldungen über eine kritische Sicherheitslücke in der beliebten Java-Bibliothek «Log4j». Die Bibliothek ist weit verbreitet und wird in vielen kommerziellen und Open-Source-Softwareprodukten verwendet.

Die Sicherheitslücke (CVE-2021-44228 1) ist kritisch, da sie von einem nicht authentifizierten Angreifer aus der Ferne ausgenutzt werden kann, um beliebigen Schadcode auszuführen. Die Kritikalität der Sicherheitslücke wird im «Common Vulnerability Scoring System» (CVSS) mit 10 (von 10) bewertet, was den Schweregrad der Sicherheitslücke angibt.

Sicherheits-Patches rasch einspielen

Da viele Drittanbieter in ihren Produkten «Log4j» verwenden, arbeiten sie intensiv an der Veröffentlichung von Patches für ihre Produkte. In den vergangenen 48 Stunden haben viele Hersteller Sicherheits-Patches für ihre Produkte publiziert. Das NCSC bittet Organisationen und nationale kritische Infrastrukturen dringend, ihre Software-Landschaft auf die Verwendung von «Log4j» zu überprüfen und die entsprechenden Patches so schnell wie möglich einzuspielen. Sollte das Einspielen von Patches nicht möglich sein, wird empfohlen, alle möglichen Abhilfemaßnahmen zu ergreifen, um weiteren Schaden zu vermeiden.

Auch Privatpersonen betroffen

Doch nicht nur Unternehmen sind gefährdet. Die Bibliothek «Log4j» steckt auch in vielen Netzwerk- und Systemkomponenten, die im Privatbereich genutzt werden. Deshalb gilt es für Privatpersonen, ihre Systeme (Computer, Tablets, Smartphones, WLAN-Router, Drucker usw.) stets auf aktuellem Stand zu halten, respektive für ein regelmässiges Update zu sorgen. So werden die laufend zur Verfügung gestellten Sicherheits-Patches der Hersteller rasch möglichst eingespielt.

Warnungen an potenziell betroffene Organisationen

Das NCSC befinde sich in ständigem Kontakt mit nationalen und internationalen Partnern zu diesem Thema. Am Samstag hat das Nationale Zentrum für Cybersicherheit begonnen, potenziell betroffene Organisationen in der Schweiz über verwundbare «Log4j»-Instanzen zu informieren, die über das Internet erreichbar sind. Solche Benachrichtigungen wurden auch an mehrere nationale kritische Infrastrukturen gesendet.

Obwohl die Schwachstelle für gezielte Angriffe auf nationale kritische Infrastrukturen genutzt werden könnte, habe das NCSC bisher keine diesbezüglichen Meldungen erhalten. Die bisher beobachteten Ausnutzungsversuche wurden zur Verbreitung von Massen-Malware wie «Mirai2», «Kinsing3» und «Tsunami3» (auch bekannt als Muhstik) genutzt. Diese Botnetze werden in erster Linie für DDoS-Angriffe (Mirai, Tsunami) oder zum Mining von Kryptowährungen (Kinsing) eingesetzt.

Empfehlungen und hilfreiche Informationen

Für Systemadministratoren hat das NCSC auf dem Blog des GovCERTs Empfehlungen zum Vorgehen sowie die Liste der Indikatoren einer möglichen Kompromittierung (indicators of compromise IOCs) zur Verfügung gestellt:

Blog GovCERT: Zero-Day Exploit Targeting Popular Java Library Log4j (verfügbar in Englisch)

Quelle: NCSC

 

(Visited 82 times, 1 visits today)

Weitere Beiträge zum Thema

SICHERHEITSNEWS

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
Sie können sich jederzeit abmelden!
close-link