Kritische Schwachstelle in Apache Log4j

Nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Bedrohungsgrad der letzte Woche bekanntgewordenen Sicherheitslücke Log4j (CVE-2021-44228) auf Rot heraufgestuft hat, werden die Folgen dieser Schwachstelle für Unternehmen auf der ganzen Welt immer deutlicher. Zahllose Softwarelösungen scheinen von der Sicherheitslücke betroffen zu sein und noch immer ist das ganze Ausmaß noch nicht bekannt.

Am Donnerstag (9. Dezember) wurde ein Exploit für CVE-2021-44228, eine kritische Schwachstelle in Apache Log4j, einer beliebten Logging-Bibliothek, veröffentlicht. Diese Bibliothek wird von einer Reihe von Produkten und Diensten verwendet, die von allen Arten von Organisationen eingesetzt werden, einschließlich Steam, Apple iCloud, Tesla und Minecraft. Die Ausnutzung dieser Sicherheitsanfälligkeit ist so einfach, dass Benutzer von Minecraft den Fehler durch Senden einer Nachricht innerhalb des Minecraft-Chats auslösen konnten.

Dazu kommentiert Amit Yoran, CEO beim IT-Sicherheitsanbieter Tenable: „Die Apache Log4j Remote Code Execution Vulnerability ist die größte und kritischste Schwachstelle des letzten Jahrzehnts. Wenn alle Untersuchungen abgeschlossen sind, könnten wir tatsächlich feststellen, dass es sich um die größte einzelne Schwachstelle in der Geschichte des modernen Computing handelt. Diese Art von Schwachstelle erinnert daran, dass Unternehmen ausgereifte Cybersicherheitsprogramme entwickeln und umsetzen müssen, um Cyberrisiken besser zu verstehen und zu bewältigen. Während Details noch bekannt werden, ermutigen wir Unternehmen, ihre Sicherheitskontrollen zu aktualisieren und davon auszugehen, dass sie kompromittiert wurden, sowie bestehende Pläne zur Reaktion auf Vorfälle zu aktivieren. Die oberste Priorität besteht jetzt darin, mit Ihren internen Security- und Engineering-Teams oder mit einer externen Organisation zusammenzuarbeiten, die präzise Sicherheitschecks durchführt, um die Auswirkungen auf Ihre Organisation zu identifizieren.“

Ähnlich äußert sich Chris Dobrec, VP Produktmarketing bei Armis: „Apache-Server befinden sich unter den Top Fünf der meistgenutzten Webserver. Cyberkriminelle versuchen derzeit aktiv, die neue Zero-Day-Schwachstelle CVE-2021-44228 in seinem Java-basierten Lo4j-Protokollierungs-Framework auszunutzen. Das allgegenwärtige, quelloffene Apache-Framework wird von Entwicklern verwendet, um die Aktivitäten innerhalb einer Anwendung zu protokollieren. Die meisten Anwendungen werden für Endverbraucher inzwischen nicht mehr in Java ausgeführt. Anders gibt es immer noch unzählige Unternehmensanwendungen und Cloud-Dienste, bei denen Java stark genutzt wird.

Diese Schwachstelle kann weitreichende Auswirkungen auf jedes Unternehmen haben. Apache wird in einer großen Anzahl von Anwendungen und Diensten im gesamten Unternehmen eingesetzt. Die Herausforderung besteht darin, dass die betroffenen Systeme sowohl Standard-Software als auch benutzerdefinierte Anwendungen enthalten können, so dass die Auswirkungen weitreichend sein können. Apache hat Log4j 2.15.0 veröffentlicht, um die Schwachstelle zu beheben. Unternehmen sollten daher unbedingt ihre Umgebung schnellstmöglich überprüfen, um herauszufinden, welche Systeme anfällig sind, und diese Systeme entsprechend anpassen.

Sicherheitsteams müssen diese kritische Schwachstelle mit einem Defense-in-Depth-Ansatz angehen und sofort die folgenden Schritte unternehmen. Sie sollten mit dem Scannen der gesamten Umgebung beginnen, um alle Anwendungen zu finden, die für die Log4j-Schwachstelle anfällig sind. Sobald diese Anwendungen identifiziert sind, ist es wichtig, das Update zu installieren, um die spezifische Schwachstelle zu beheben. Zum Schutz vor einer möglichen Ausnutzung in der Cloud-Umgebung ist es wichtig, dass sie auch aktualisierte Regeln auf ihre Web Application Firewall (WAF) anwenden. Dadurch gibt es keine Möglichkeit zur Ausnutzung dieser Ressourcen, während das Patching abgeschlossen wird.“

Marc Fliehe, Bereichsleiter Digitales und Cybersecurity beim TÜV-Verband, erklärt: „Beispiele wie Log4Shell zeigen, wie verwundbar digitale Infrastrukturen sein können. Die Schwachstelle Log4Shell ist für kriminelle Hacker leichte Beute, weil sie weit verbreitet, leicht auffindbar und einfach auszunutzen ist. Angreifer nutzen diese Sicherheitslücke bereits mit zum Teil automatisierten Prozessen massenhaft aus. Es ist anzunehmen, dass vor allem Business-Anwendungen betroffen sein werden.“

„Die Log4Shell-Schwachstelle zeigt, wie wichtig neben technischen Maßnahmen auch ein funktionierendes IT-Sicherheits- und Notfallmanagement ist. Bei einem Angriff auf die IT-Infrastruktur oder neu auftretenden Sicherheitslücken können Organisationen dank etablierter Prozesse schnell reagieren, die eigene Betroffenheit feststellen und bei Bedarf Schutzmaßnahmen einleiten.“

„Es war richtig und wichtig, dass das BSI die Informationen über die Schwachstelle veröffentlicht hat. Informationen über Sicherheitslücken nach geregelten Prozessen zu teilen, stärkt die Informationssicherheit. Daher sollten möglichst alle Unternehmen, Behörden und andere Organisationen IT-Angriffe melden. Ein aktuelles Lagebild ist für alle IT-Sicherheitsverantwortlichen essentiell.“

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago