Kritische Schwachstelle in log4j veröffentlicht
Aufgrund einer Schwachstelle in Log4j, die auf breiter Front Server im Netz bedroht, wird nun die Warnstufe Rot ausgesprochen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte am Samstag seine Warnstufe zu der Sicherheitslücke von Orange auf Rot hoch. Es hieß, dass es weltweite Angriffsversuche gab, die zum Teil erfolgreich gewesen seien.
Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung. Der Blog eines Dienstleisters für IT-Security berichtet über die Schwachstelle CVE-2021-44228 in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht dann, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren. Ein Proof-of-Concept (PoC) der Schwachstelle wurde auf Github veröffentlicht und auf Twitter geteilt.
Neben dem PoC existieren auch Beispiele für Skripte, die Systeme stichprobenartig auf Verwundbarkeit hin untersuchen. Skripte solcher Art können zwar Administratoren keine Sicherheit über die Verwundbarkeit geben, aber erlauben Angreifern kurzfristig rudimentäre Scans nach verwundbaren Systemen. Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mithilfe von log4j Teile der Nutzeranfragen protokollieren.
Sie haben Fragen zu der Meldung oder benötigen Hilfe?
Twitter Meldung: p0rz9 auf Twitter: "Apache Log4j2 jndi RCE #apache #rce https://t.co/ZDmc7S9WW7 https://t.co/CdSlSCytaD" / Twitter
Auflistung der betroffenen Systeme: https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592