IBH: Sicherheitslücke im Log4Shell führt zu extrem kritischer Bedrohungslage

Eine Sicherheitslücke in der weitverbreiteten Java-Bibliothek Log4j hat ein enormes Bedrohungspotential für weltweite IT-Systeme. Betroffen ist eine Vielzahl an Software-Produkten weltweit wie bspw. Dienste von Apple, Twitter, Steam, Amazon, aber auch VMware vCenter, Citrix ADC oder Cisco Umbrella bzw. Duo, Starface u. v. m. Zahlreiche andere Software-Produkte sind noch in der Qualifizierung, ob sie betroffen sind.

Eine Java Bibliothek ist im Allgemeinen ein Software Baustein der von verschiedenen Softwareprodukten genutzt werden kann. Die betroffene Bibliothek Log4j wird sehr oft zur Protokollierung von Anwendungen eingesetzt. In Protokollen werden häufig auch Daten, die ein Angreifer einspeisen kann, protokolliert. Die Log4j Bibliothek enthält einen Fehler, der dazu führt, dass die betroffene Software auf bestimmte Muster in diesen Daten reagiert und versucht eine Verbindung zum Server eines Angreifers aufzubauen. Der Angreifer erhält dann die Kontrolle über die Software.

Was können Sie tun?
Bitte schauen Sie, welche Software auf einer Java-Bibliothek basiert, welche Software-Produkte (auch Fachapplikationen, Managementsoftware usw.) Sie im Einsatz haben und kontaktieren Sie deren Hersteller oder den entsprechenden Dienstleister der Software. Kritisch sind vor allem alle Systeme, die eine ein- oder ausgehende Kommunikation ins Internet haben. Aber auch interne Systeme können betroffen sein. Es zeigt sich bereits, dass ein gutes Firewall-Konzept nach dem Least-Privilege-Prinzip den Missbrauch auch hier erschweren oder komplett verhindern kann.

Aufgrund der vielfältigen Implementierung in zahlreichen Herstellerprodukten sind viele Hersteller noch in der Qualifizierung.

Weiterführende Links