Log4J Schwachstelle – Warnstufe „rot“ durch BSI ausgerufen
Bundesamt für Sicherheit in der Informationstechnik hat für weit verbreiteten Server-Software Log4J Samstagnacht die höchste Warnstufe „rot“ ausgerufen
Am Freitag haben Experten eine neue Zero-Day-Sicherheitslücke entdeckt, die vorher noch niemandem bekannt war und für die es bei vielen Herstellern noch keine Lösung gibt. Log4J ist eine beliebte Standard-Protokollierungsbibliothek für Java-Anwendungen und wird auf sehr vielen Servern und in den Umgebungen eingesetzt. Das ist sinnvoll, weil hier der Hersteller Fehlerquellen ausfindig machen und diese beheben kann. Diese Logs sind Kryptisch – Java übersetzt diese und macht sie leserlich – diese erstellten Classes werden dann ohne vorherige Prüfung ausgeführt.
Hier ist auch die Sicherheitslücke – unter diesen kryptischen Dateien können sich nun auch schadhafte Dateien befinden. Weil Java hier innerhalb der Anwendung Administrations-Rechte hat – werden diese schadhaften Codes einfach durch Java ausgeführt. Es ist sehr einfach für Hacker und Cyberkriminelle diese Sicherheitslücke auszunutzen
Schwachstelle: CVE-2021-44228 [MIT2021] in log4J in den Versionen 2.0 bis 2.14.1
Hersteller wie, VMWare, Apache und Unifi sind Betroffen – Viele weitere Hersteller prüfen noch auf Betroffenheit
Es sollten dringend Updates installiert werden, sofern diese von den Herstellern bereits bereitgestellt wurden.
Es wird dringend empfohlen, für Ihre IT qualifiziertes Personal zur Überwachung ihrer Systeme einzusetzen.