Kritische Schwachstelle in Log4j bedroht zahlreiche Anwendungen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat kürzlich Informationen zu einer Schwachstelle in der Java-Biliothek „log4j“ (CVE-2021-44228) veröffentlicht und diese mit der Höchststufe 4 (rot) bewertet. Das BSI empfiehlt, betroffene Systeme und Anwendungen umgehend zu patchen und nicht zwingend notwendige Zugriffe bis dahin vorsorglich zu unterbinden. Weitere Informationen zu den empfohlenen Maßnahmen finden Sie hier.
Es ist momentan noch schwer abschätzbar, welche Systeme von der Sicherheitslücke betroffen sind. Das BSI verweist an dieser Stelle auf einen GitHub-Beitrag, auf dem eine Liste von aktuell wohl betroffenen (und somit verwundbaren) Anwendungen veröffentlicht ist. Die Liste wird laufend aktualisiert und mit entsprechenden Links zu Informationen der Hersteller ergänzt. Betroffen sind demnach vermutlich diverse Anwendungen u.a. von Atlassian (z.B. Jira, Confluence), Amazon Web Services, Cisco, Microsoft Azure, Salesforce, uvm.
Die betroffene Java-Bibliothek Log4j fungiert als System zur Aggregation von Protokolldaten und ist in verschiedensten Anwendungen implementiert. Durch die Sicherheitslücke ist es Angreifern nach aktuellen Informationen des BSI möglich, „auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren“. Dies gelte für alle aus dem Internet erreichbaren Java-Anwendungen, die die betroffene Bibliothek einsetzen sowie für interne Systeme, sofern diese externe Daten entgegennehmen oder verarbeiten.
Berichten zufolge erfolgen bereits großflächige Scans nach verwundbaren Systemen, um diese aktiv auszunutzen. Ungepatchte, laufende Anwendungen sind daher mit einem hohen Risiko behaftet. Halten Sie daher Rücksprache mit Ihrer IT-Abteilung oder Ihrem externen IT-Dienstleister und beobachten Sie die Hersteller-Informationen der für Sie relevanten Anwendungen. Bei Anzeichen für eine Kompromittierung Ihres Systems beziehen Sie bitte auch Ihre/n Datenschutzbeauftragte/n mit ein.
Quelle:
Sicherheitswarnung des BSI, Version 1.3 vom 12.12.2021, Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228).