Philip - stock.adobe.com

Warnstufe Rot: Log4Shell gefährdet Server, Dienste und Apps

Das BSI warnt eindringlich vor einer Schwachstelle in einer Java-Bibliothek. Diese führe zu einer extrem kritischen Bedrohungslage. Für Admins herrscht akuter Handlungsbedarf.

So hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Informationen zu der Schwachstelle CVE-2021-44228 (Log4Shell) in Log4j veröffentlicht. Dabei handelt es sich um eine Protokollierungsbibliothek für Java-Anwendungen. Die Sicherheitslücke (CVE-2021-44228) erlaube es Angreifern in Log4j in den Versionen 2.0 bis 2.14.1 auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Damit fällt die Sicherheitslücke in die Kategorie Remote-Code-Ausführung (Remote Code Execution).

Nach Angaben des BSI ist die Schwachstelle trivial ausnutzbar. Ein entsprechender Proof- of-Concept (PoC) sei verfügbar. Da Log4j in vielen Java-Anwendungen eingesetzt werde, sei der Schutz gegen eine aktive, breite Ausnutzung durch die Verfügbarkeit eines PoC sehr gering. Wird die Sicherheitslücke ausgenutzt, ermögliche dies die vollständige Übernahme des betroffenen Systems.

So könne die kritische Schwachstelle möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen haben, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren. Welche Produkte verwundbar sind und für welche bereits Updates zur Verfügung stehen müssen im Einzelfall geprüft werden. Die kritische Schwachstelle kann auch auf internen Systemen ausgenutzt werden, wenn diese externe Daten entgegennehmen oder verarbeiten. Das BSI hat die IT-Bedrohungslage als extrem kritisch eingestuft (Warnstufe Rot). Dies steht für den möglichen Ausfall vieler Dienste und das der Regelbetrieb nicht aufrecht erhalten werden kann.

Da für die Ausnutzung der Schwachstelle nicht zwingend das Nachladen von Schadcode aus dem Internet notwendig sei, sondern dies mit einer einzigen Anfrage möglich sei, müsse für alle verwundbaren Systeme die Angriffsfläche reduziert werden.

Log4j-Sicherheitslücke: Handlungsempfehlungen des BSI

Ausführliche Informationen und Handlungsempfehlungen hat das BSI in einem Dokument veröffentlicht Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228) (PDF). Dort finden sich auch Hinweise auf Listen mit vermutlich betroffenen Produkten. Unternehmen sollten die geschilderten Abwehrmaßnahmen zeitnah umsetzen.

Die empfohlenen Schritte verdeutlichen den Ernst der Lage. So rät das BSI dazu nicht zwingend benötigte Systeme abzuschalten. Darüber hinaus sollten Netzwerke segmentiert werden, um die verwundbaren Systeme zu isolieren. Auf Systemen, die sich aufgrund ihrer Bedeutung für den Geschäftsbetrieb nicht abschalten lassen, sollte ein umfassendes Logging erfolgen, inklusive einer Protokollierung aller eingehenden und ausgehenden Verbindungen. So ließe sich später eine Kompromittierung leichter identifizieren. Zudem sollten alle nicht zwingend notwendigen ausgehenden Verbindungen blockiert werden.

Das BSI haben Meldungen über weltweite Massenscans erreicht und versuchte Kompromittierungen. So gibt es bereits erste Meldungen über erfolgreiche Kompromittierungen, etwa mit Kryptominern. Darüber hinaus gäbe es auch Hinweise darauf, dass die Schwachstelle von Botnetzen ausgenutzt wird. Die Wahrscheinlichkeit sei sehr groß, dass die Aktivitäten von Angreifern noch deutlich zunehmen werden

Nach Einschätzung des BSI sei das gesamte Ausmaß der Bedrohung derzeit nicht feststellbar. So existiere für die betroffene Java-Bibliothek Log4j zwar ein Sicherheits-Update, es müssten allerdings alle Produkte, die Log4j verwenden, ebenfalls angepasst werden.

Erfahren Sie mehr über Bedrohungen