Die Meldung erreichte viele Menschen kurz vor dem Wochenende auf dem falschen Fuss – oder sie bekamen gar nichts mit von der drohenden Gefahr. Die Rede ist von einer verhängnisvollen Schwachstelle in einer weit verbreiteten Java-Bibliothek (dazu unten mehr). Die Schwachstelle (CVE-2021-44228) wird umgangssprachlich Log4Shell genannt.
Das war am Freitagabend. Und natürlich half es nicht, dass die Nachrichtenagenturen das Thema Log4j in der Folge stiefmütterlich behandelten. Dies auch nachdem das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) am Samstag die höchste Warnstufe (Rot) ausrief.
Dieser Beitrag dreht sich um die wichtigsten Fragen und Antworten aus Sicht der normalen Internet-Nutzerinnen und -Nutzer. Denn eines ist klar: Server-Administratoren und IT-Sicherheitsexperten wurden durch die sich überschlagenden Ereignisse um Freizeit und Schlaf gebracht.
Noch schlimmer als zunächst befürchtet.
Die Fachleute vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die am Freitag bekannt gewordene Zero-Day-Lücke in der weit verbreiteten Java-Bibliothek Log4j nachträglich hochgestuft. Seit Samstag gelte nun die höchste Warnstufe Rot, schreibt heise.de.
Der Grund: Man habe beobachtet, «dass die Schwachstelle ohne explizites Nachladen von Schadcode ausgenutzt werden könne, womit ein Grossteil der empfohlenen Gegenmassnahmen ins Leere läuft».
Von der Log4j-Sicherheitslücke betroffen sind nicht nur Server und Netzwerkkomponenten: Java-Programmcode sei auch in Zugangssystemen wie digitalen Schliesssystemen und in der Automatisierungstechnik sowie Smart Home weit verbreitet: Ob auch diese Systeme durch den Zero-Day-Exploit kompromittierbar sind, weiss laut heise.de noch niemand.
Gefährdet seien nicht nur Grosskonzerne wie Google, die bei GitHub auf dieser Liste aufgeführt sind: Log4j stecke auch in vielen Netzwerk- und Systemkomponenten, die in kleinen Unternehmen, aber auch von Privatpersonen und Mitarbeitern im Home-Office eingesetzt würden.
Das Problem erinnere an ShellShock, konstatiert heise.de: 2014 waren viele Server durch eine Sicherheitslücke im Kommandozeilen-Interpreter Bash kompromittierbar.
Die Cybersecurity-Experten vom staatlichen Computer Emergency Response Team (GovCERT) informierten am Sonntag in einem Blog-Beitrag über das Vorgehen:
Zu den sogenannten «Kritischen Infrastrukturen» gehören die Teilsektoren Stromversorgung, Erdölversorgung, Erdgasversorgung sowie Fern- und Prozesswärme.
Obwohl die Schwachstelle bei gezielten Angriffen auf nationale kritische Infrastrukturen ausgenutzt werden könne, habe das GovCERT diesbezüglich noch keine Berichte erhalten.
Sofern nicht schon getan, sollte man unbedingt Sicherheitskopien (Backups) aller wertvollen Daten erstellen.
Abgesehen davon kann man nur hoffen, dass die IT-Verantwortlichen der betroffenen Organisationen ihre Computer-Systeme schnell absichern. Dies muss je nach Konstellation auch durch zusätzliche Updates passieren. Aus diesem Grund sollte man die Benachrichtigungen im Auge behalten und Software-Aktualisierungen umgehend installieren.
Zum Beispiel habe der Netzwerk-Ausrüster Ubiquiti gemäss Bericht von heise.de eingeräumt, dass sein Konfigurations- und Verwaltungs-Programm UniFi Network Application verwundbar ist und ein Update bereitgestellt.
Die Abkürzung «log4j» steht für «Logging for Java». Dabei handelt es sich um eine Server-Software, die Anwendungen in der Programmiersprache Java beim Betrieb hilft. Das Problem: Wegen der nun öffentlich bekannten Schwachstelle könnten Angreifer Schadsoftware auf fremden Systemen laufen lassen und sie unter Umständen sogar komplett kapern.
Weil die Java-Bibliothek in extrem vielen Java-Anwendungen vorkommt, ist noch nicht absehbar, wie viele Internetdienste angreifbar sind. Sicher ist: Betroffen sind auch namhafte Firmen wie Apple, Google oder Microsoft.
Die Cybersecurity-Spezialisten von GovCERT.ch haben eine Grafik veröffentlicht, die bei Twitter gelobt wird. Sie zeigt auf, wie Angreifer die Schwachstelle in der weit verbreiteten Java-Bibliothek für Online-Attacken ausnutzen und was Systemadministratoren dagegen tun können.
Schreib uns via Kommentarfunktion!
Administratoren brauchen auch nicht Watson und Co um solche News zu erhalten ;-) Nix für ungut, aber da gibt es zuverlässigere Quellen ;-)
Eine kleine Anmerkung zu "Die Rede ist von einer verhängnisvollen Schwachstelle in der weit verbreiteten Java-Bibliothek Log4S (auch Log4Shell genannt)."
Die Bibliothek heisst richtig Log4j2, die Vulnerability CVE-2021-44228 nennt man umgangssprachlich auch Log4Shell