Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Cyber-Sicherheitswarnung der Stufe Rot ausgerufen. Grund ist eine kritische Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j, die aus Sicht des BSI eine ernstzunehmende Bedrohungslage darstellt.
Log4j ist eine beliebte und weit verbreitete Protokollierungsbibliothek für Java-Anwendungen, die der Aggregation von Protokolldaten innerhalb einer Anwendung dient.
Die am 9. Dezember bekannt gewordene Schwachstelle in Log4j betrifft die Versionen 2.0 bis 2.14.1 und ist ab 2.15 gepatcht. Dem ebenfalls am 9. Dezember auf GitHub veröffentlichten Proof of Concept (PoC) zufolge ermöglicht die Sicherheitslücke es Angreifern, auf Zielsystemen eigene Codes auszuführen und einzelne Anwendungen sowie ganze Server schlicht lahmzulegen.
Die kritische Schwachstelle kann nicht nur zum Installieren weiterer Schadsoftware genutzt werden, sondern auch zum Auslesen vertraulicher Daten. Dafür ist nicht mal eine externe Schadsoftware nötig, eine einfache Anfrage genügt bereits. Diese kritische Schwachstelle hat darum möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Log4j arbeiten.
So gibt es bereits zahlreiche Beispiele für Skripte, die Systeme stichprobenartig auf ihre Verwundbarkeit hin untersuchen. Auch Hinweise auf Versuche, die Schwachstelle durch Botnetze auszunutzen, mehren sich.
Unsere SysOps haben umgehend reagiert und bei betroffenen Systemen die nötigen Security Patches eingespielt, ein Upgrade von Elasticsearch durchgeführt sowie ungenutzte Elasticsearch Instanzen entfernt. Außerdem wurden alle Dateisysteme auf unseren Servern nach dem Stichwort „Log4js“ durchsucht, um weitere Verwendungsorte der anfälligen Protokollierungsbibliothek zu ermitteln. Da nur Java-Applikationen von der aktuellen Sicherheitslücke betroffen sind, war die Prüfung von PHP-Applikationen nicht nötig.
Sollten Sie Fragen rund um Log4j, zur Sicherheit Ihres Systems oder zu anderen Themen haben, sprechen Sie uns gerne jederzeit an.