Kritische Schwachstelle in Apache Log4j

Nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Bedrohungsgrad der letzte Woche bekanntgewordenen Sicherheitslücke Log4j (CVE-2021-44228) auf Rot heraufgestuft hat, werden die Folgen dieser Schwachstelle für Unternehmen auf der ganzen Welt immer deutlicher. Zahllose Softwarelösungen scheinen von der Sicherheitslücke betroffen zu sein und noch immer ist das ganze Ausmaß noch nicht bekannt.

Am Donnerstag (9. Dezember) wurde ein Exploit für CVE-2021-44228, eine kritische Schwachstelle in Apache Log4j, einer beliebten Logging-Bibliothek, veröffentlicht. Diese Bibliothek wird von einer Reihe von Produkten und Diensten verwendet, die von allen Arten von Organisationen eingesetzt werden, einschließlich Steam, Apple iCloud, Tesla und Minecraft. Die Ausnutzung dieser Sicherheitsanfälligkeit ist so einfach, dass Benutzer von Minecraft den Fehler durch Senden einer Nachricht innerhalb des Minecraft-Chats auslösen konnten.

Dazu kommentiert Amit Yoran, CEO beim IT-Sicherheitsanbieter Tenable: „Die Apache Log4j Remote Code Execution Vulnerability ist die größte und kritischste Schwachstelle des letzten Jahrzehnts. Wenn alle Untersuchungen abgeschlossen sind, könnten wir tatsächlich feststellen, dass es sich um die größte einzelne Schwachstelle in der Geschichte des modernen Computing handelt. Diese Art von Schwachstelle erinnert daran, dass Unternehmen ausgereifte Cybersicherheitsprogramme entwickeln und umsetzen müssen, um Cyberrisiken besser zu verstehen und zu bewältigen. Während Details noch bekannt werden, ermutigen wir Unternehmen, ihre Sicherheitskontrollen zu aktualisieren und davon auszugehen, dass sie kompromittiert wurden, sowie bestehende Pläne zur Reaktion auf Vorfälle zu aktivieren. Die oberste Priorität besteht jetzt darin, mit Ihren internen Security- und Engineering-Teams oder mit einer externen Organisation zusammenzuarbeiten, die präzise Sicherheitschecks durchführt, um die Auswirkungen auf Ihre Organisation zu identifizieren.“

Ähnlich äußert sich Chris Dobrec, VP Produktmarketing bei Armis: „Apache-Server befinden sich unter den Top Fünf der meistgenutzten Webserver. Cyberkriminelle versuchen derzeit aktiv, die neue Zero-Day-Schwachstelle CVE-2021-44228 in seinem Java-basierten Lo4j-Protokollierungs-Framework auszunutzen. Das allgegenwärtige, quelloffene Apache-Framework wird von Entwicklern verwendet, um die Aktivitäten innerhalb einer Anwendung zu protokollieren. Die meisten Anwendungen werden für Endverbraucher inzwischen nicht mehr in Java ausgeführt. Anders gibt es immer noch unzählige Unternehmensanwendungen und Cloud-Dienste, bei denen Java stark genutzt wird.

Diese Schwachstelle kann weitreichende Auswirkungen auf jedes Unternehmen haben. Apache wird in einer großen Anzahl von Anwendungen und Diensten im gesamten Unternehmen eingesetzt. Die Herausforderung besteht darin, dass die betroffenen Systeme sowohl Standard-Software als auch benutzerdefinierte Anwendungen enthalten können, so dass die Auswirkungen weitreichend sein können. Apache hat Log4j 2.15.0 veröffentlicht, um die Schwachstelle zu beheben. Unternehmen sollten daher unbedingt ihre Umgebung schnellstmöglich überprüfen, um herauszufinden, welche Systeme anfällig sind, und diese Systeme entsprechend anpassen.

Sicherheitsteams müssen diese kritische Schwachstelle mit einem Defense-in-Depth-Ansatz angehen und sofort die folgenden Schritte unternehmen. Sie sollten mit dem Scannen der gesamten Umgebung beginnen, um alle Anwendungen zu finden, die für die Log4j-Schwachstelle anfällig sind. Sobald diese Anwendungen identifiziert sind, ist es wichtig, das Update zu installieren, um die spezifische Schwachstelle zu beheben. Zum Schutz vor einer möglichen Ausnutzung in der Cloud-Umgebung ist es wichtig, dass sie auch aktualisierte Regeln auf ihre Web Application Firewall (WAF) anwenden. Dadurch gibt es keine Möglichkeit zur Ausnutzung dieser Ressourcen, während das Patching abgeschlossen wird.“

Marc Fliehe, Bereichsleiter Digitales und Cybersecurity beim TÜV-Verband, erklärt: „Beispiele wie Log4Shell zeigen, wie verwundbar digitale Infrastrukturen sein können. Die Schwachstelle Log4Shell ist für kriminelle Hacker leichte Beute, weil sie weit verbreitet, leicht auffindbar und einfach auszunutzen ist. Angreifer nutzen diese Sicherheitslücke bereits mit zum Teil automatisierten Prozessen massenhaft aus. Es ist anzunehmen, dass vor allem Business-Anwendungen betroffen sein werden.“

„Die Log4Shell-Schwachstelle zeigt, wie wichtig neben technischen Maßnahmen auch ein funktionierendes IT-Sicherheits- und Notfallmanagement ist. Bei einem Angriff auf die IT-Infrastruktur oder neu auftretenden Sicherheitslücken können Organisationen dank etablierter Prozesse schnell reagieren, die eigene Betroffenheit feststellen und bei Bedarf Schutzmaßnahmen einleiten.“

„Es war richtig und wichtig, dass das BSI die Informationen über die Schwachstelle veröffentlicht hat. Informationen über Sicherheitslücken nach geregelten Prozessen zu teilen, stärkt die Informationssicherheit. Daher sollten möglichst alle Unternehmen, Behörden und andere Organisationen IT-Angriffe melden. Ein aktuelles Lagebild ist für alle IT-Sicherheitsverantwortlichen essentiell.“

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

5 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

9 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

10 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

10 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

11 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

13 Stunden ago