Skip to content
Cyberangriff - blau header-1
12.20211 min Lesezeit

Sicherheitslücke Log4J: was zu tun ist!

Am 09.12.2021 wurde eine kritische Sicherheitslücke in Apache’s Log4J veröffentlicht.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft diese Sicherheitlücke mit maximaler Warnstufe (Stufe 4 von 4) ein und beschreibt die IT-Bedrohungslage damit als extrem kritisch.

Was ist Log4J?

log4j ist ein Framework zum Logging von Anwendungsmeldungen in Java. Es hat sich innerhalb vieler Softwareprodukte (Kommerzielle Systeme und Open Source) über viele Jahre zu einem De-Facto-Standard entwickelt. log4j gilt als Vorreiter für andere Logging-Umgebungen und wird von Entwicklern von Web- und Server-Applikationen intensiv genutzt, die in Java und anderen Sprachen entwickeln. Deshalb liegt die Gefährlichkeit dieser Schwachstelle in dem Umstand, dass sie einen großen Bereich von Services und Server-Anwendungen betrifft.

Kleinere, private IT-Umgebungen, z.B. in Home Offices und im Home Entertainment wurden bereits am letzten Wochenende durch Hersteller gepatcht, wie zum Beispiel die Firmware einiger Router des Herstellers von Ubiquiti – die Updates erfolgten hier automatisch.

Der Hersteller Sophos stellt in seinem Security Advisory eine Reihe von Informationen bereit: „SophosLabs has deployed a number of IPS signatures for Sophos Firewall, Sophos Endpoint, and Sophos SG UTM that scan for traffic attempting to exploit the Log4J vulnerability. The Sophos Managed Threat Response (MTR) team is actively monitoring MTR customer accounts for post-exploit activity. Sophos XDR customers can use a query to help identify vulnerable Log4J components in their environment.“

Kunden sollten Ihre IT-Infrastrukturen auf das Vorhandensein bzw. den Einsatz von Log4J kritisch prüfen – im ersten Schritt mit Fokus auf die Systeme, die dem Internet nahe Funktionen ausführen und daher extern erreichbar sind. Da so viele interne und externe Anwendungen auf diesem Java-Framework basieren, ist eine Identifikation aller betroffener Software in der gesamten Infrastruktur weiterhin sehr herausfordernd.

Parallel prüfen auch alle Hersteller aktuell die Anfälligkeit Ihrer eigenen Produkte und Software auf die Sicherheitslücke und entwickeln entsprechende Patches.
Dazu gibt es aktuell eine inoffizielle Liste bei GitHub mit einer Zusammenstellung und Verlinkung aller möglich betroffenen Hersteller und entsprechender Analysen.
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Kunden die bereits ein automatisches Schwachstellenmanagement im Einsatz haben, profitieren in dieser Zeit von automatisierten Scans der Unternehmens-IT. Ebenfalls sind zu dieser Sicherheitslücke bereits ausführliche CVEs und NVTs (Network Vulnerability Tests) vorhanden, sodass betroffene Software und Dienste mit einem Schwachstellenscanner wie Greenbone im gesamten Netzwerk einfach und zuverlässig identifiziert werden können.

Gerne unterstützen wir Sie!

 

Kommentare

Artikel zu ähnlichen Themen ▼