Subscribe to our Newsletter!
By subscribing to our newsletter, you agree with our privacy terms
Home > Cybersecurity > Log4Shell-Bug gefährdet das Internet
Dezember 17, 2021
Weltweit kämpfen Unternehmen damit, den Schaden zu begrenzen, der durch eine der bedeutendsten Open-Source-Software-Sicherheitslücken der letzten Jahre entstanden ist. Dies wurde am Freitag, den 10. Dezember, erstmals öffentlich bekannt. Ein Fehler in einem Programm namens Log4j, das in zahllosen Java-Anwendungen der letzten zwei Jahrzehnte verwendet wurde, hat praktisch jedes Unternehmen, das im Internet tätig ist, dazu gezwungen, seine Software auf Schwachstellen zu überprüfen.
In Brasilien zum Beispiel erreichte die Auswirkung dieser Ausnutzung 53 % der Unternehmensnetzwerke, die von Versuchen dieser Ausnutzung betroffen waren, wie eine Umfrage von Check Point Research (CPR) ergab. Das ist ein höherer Anteil als der weltweite Gesamtanteil von 44 %. Mehr als 90 Länder waren betroffen.
Die als kritisch eingestufte Zero-Day-Schwachstelle mit dem Namen Log4Shell wurde zunächst ausgenutzt, um Minecraft-Server zu kompromittieren. Vier Tage nach der ersten Meldung ist jetzt klar, dass es sich um eine ernsthafte Bedrohung handelt, die zahlreiche Cloud-Dienste gefährdet. Bedrohungsanalysten und Forscher sind noch dabei, den Schaden zu bewerten, aber die Prognosen sind nicht besonders gut.
„Es handelt sich um eine ernste Schwachstelle, da Java und das log4j-Paket weit verbreitet sind”, sagte Cloudflare-CTO John Graham-Cumming gegenüber The Verge. „Das Problem: Es gibt viel Java-Software, die mit dem Internet verbunden ist und auf Back-End-Systemen läuft.”
Das wissen wir bisher über die Sicherheitslücke:
Die Hauptursache für Log4Shell, formell bekannt als CVE-2021-44228, ist das, was NIST als unsachgemäße Eingabevalidierung bezeichnet. Das heißt: Der Nutzer verlässt sich zu sehr auf nicht vertrauenswürdige Daten. Diese kommen von Außenstehenden, die die Software hacken und für kriminelle Machenschaften nutzen.
Was CVE-2021-44228 besonders gefährlich macht, ist die Leichtigkeit, mit der diese Schwachstelle ausgenutzt werden kann: Selbst ein unerfahrener Hacker kann einen Angriff über diese Schwachstelle erfolgreich durchführen. Nach Angaben von Sicherheitsforschern müssen Angreifer die Anwendung nur dazu zwingen, eine einzige Zeichenfolge in das Protokoll zu schreiben, und danach können sie dank der Funktion zum Überschreiben von Warnmeldungen ihren eigenen Code in die Anwendung laden.
Für die meisten großen Unternehmen und Behörden stellt sich nicht die Frage, ob sie betroffen sind, sondern eher wie viele Systeme betroffen sind. Es gilt nun, alle gefährdeten Systeme zu identifizieren und zu reparieren. Erschwerend kommt hinzu, dass viele Behörden, Unternehmen und Verbraucher wahrscheinlich nicht wissen, ob sie Produkte besitzen, die den Code verwenden. Die Cybersecurity and Infrastructure Security Agency (CISA) arbeitet daran, eine umfassende Liste aller Produkte zu erstellen, die den betroffenen Code enthalten. Zudem wurden Sicherheitsforscher aufgefordert, Details zu allen Produkten mitzuteilen, die mutmaßlich ebenfalls infiziert sind.
Ein Update für die log4j-Bibliothek wurde bereits veröffentlicht, um die Schwachstelle zu entschärfen. Aber angesichts der Zeit, die benötigt wird, um sicherzustellen, dass alle anfälligen Rechner aktualisiert werden, bleibt Log4Shell eine dringende Bedrohung.
Oracle hat ein Sicherheits-Patch veröffentlicht und den Kunden empfohlen, es aufgrund der Schwere der Sicherheitslücke so schnell wie möglich anzuwenden.
Trend Micro hat ebenfalls reagiert und eine schnelle, webbasierte Suchfunktion entwickelt, um Anwendungen zu identifizieren, die von Log4Shell angegriffen werden können.
Und Informationen von The Ecletic Light Company berichten, dass Apple einen Patch für iOS/iPadOS 15.2 und macOS Monterey 12.1 zur Verfügung gestellt hat.
November 28, 2022
November 15, 2022
November 04, 2022
Oktober 20, 2022
Oktober 17, 2022
Oktober 11, 2022
September 22, 2022
August 29, 2022
Previous
APIs (Application Programming Interface) fehlen Strategien zur Cybersicherheit
Next
10 Schritte, um die Sicherheit von kritischen Infrastrukturen zu verbessern