Sicherheitslücke im Java-Logging log4j
Eine einfache Ausnutzung ist leider möglich
Was ist log4j?
Das Java-Logging log4j ist ein Open Source-Werkzeug, welches genutzt wird, um zu dokumentieren, was innerhalb einer Java-Anwendung passiert.
Im Prinzip wird alles damit beobachtet und protokoliert, was auf dem Server passiert. Dieser Vorgang wird genutzt, um zum Beispiel Fehler ausfindig zu machen. Es kann also gesagt werden, dass durch das Logging eine Suchanfrage oder ein Befehl gespeichert und ggf. direkt interpretiert wird.
Was ist das Problem mit log4j?
Bei der möglichen Interpretation zeigt sich dann auch das Problem: Mit dem richtigen Befehl kann erheblichen Schaden, beispielsweise in Form von schädlicher Software, angerichtet werden.
Dies kann durch eine sogenannte Remote Code Execution – ferngesteuerte Codeausführung passieren.
Da diese Lücke sehr leicht auszunutzen ist bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Bedrohungslage als sehr kritisch mit der Warnstufe rot.
Bei log4j handelt es sich um eine Open Source, für deren Benutzung keine Gebühren anfallen. Daher nutzen viele Unternehmen dieses System als einzige Sicherheitsprüfung. Deshalb ist es umso wichtiger diese hohe Gefahrenstufe ernst zu nehmen.
Wir raten Ihnen davon ab log4j als einzige Sicherheitsprüfung zu nutzen! Bitte nutzen Sie immer mehrere Sicherheitsprüfungen!
Die Sicherheitslücke (genannt log4shell) wurde am 09.12.2021 gefunden. Nach bisherigen Daten wurde sie das erste Mal am 01.12.2021 ausgenutzt. Nach der Bekanntgabe dieser Sicherheitslücke werden seit dem 09.12.2021 Massenangriffe beobachtet, weshalb eine schnelle Handlung absolut notwendig ist.
Auch wenn sich aktuell der Schaden noch in Grenzen hält, können sich auch jetzt schon Angreifer in das Netzwerk gehackt haben und unbemerkt Ihre Arbeit fortsetzen und zu einem späteren Zeitpunkt unbemerkt zuschlagen.
Bin ich von der Sicherheitslücke betroffen und was kann ich tun?
Als Einzelperson ist man in der Regel nicht betroffen. Vor allem Unternehmen mit eigenem Server betrifft diese Gefahr.
Wir wissen aktuell, dass die Versionen 2.0 bis 2.15.x von Apache log4j mindestens von der Sicherheitslücke betroffen sind.
Als Anwender kann man kurzfristig nur neue Patches installieren. Ein Update auf die aktuelle Version 2.15.0 ist schon vorhanden und sollte schnellstmöglich durchgeführt werden.
Langfristig sollten weitere Sicherheitsüberprüfungen überdacht werden, um die IT-Security im eigenen Unternehmen deutlich zu steigern.
Sollten Sie sich nicht sicher sein, ob ein System von Ihnen Gefahr läuft unter der Sicherheitslücke betroffen zu sein, zögern Sie nicht und melden Sie sich bei uns. Wir helfen Ihnen da gerne weiter!
Gibt es weitere Informationen?
Eine genaue Beschreibung der kritischen Schwachstelle in log4j hat das Bundesamt für Sicherheit und Informationstechnik bereitgestellt.
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3
Wo kann ich mich melden, wenn ich Hilfe brauche?
Insofern Sie nicht selbst eine IT-Abteilung haben, melden Sie sich bitte bei Ihrem IT-Dienstleister. Auch wir, die inch media GmbH, hilft Ihnen sehr gerne dabei herauszufinden, ob Ihr Server davon betroffen ist und wie Sie schnellstmöglich an die notwendigen Updates gelangen.
Zögern Sie bitte nicht und melden Sie sich bei Fragen bei uns!