Am 10.12.2021 wurde in der weitverbreiteten Java-Bibliothek Log4j eine kritische Sicherheitslücke identifiziert. Systeme, die Log4j einsetzen, können über diese Schwachstelle von Angreifern übernommen werden – Heise berichtete. Die Sicherheitslücke wird als „Log4Shell“ bezeichnet und ist als CVE-2021-44228 erfasst.
Das Bundesamt für Informationssicherheit (BSI) sieht eine extrem kritische Bedrohungslage und hat daher seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot angehoben.
Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte. Die Schwachstelle ist zudem trivial ausnutzbar, ein Proof-of-Concept ist öffentlich verfügbar. Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems. Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet.
Privat oder Unternehmen – Log4Shell macht keinen Unterschied!
Meldungen und Berichte über die Sicherheitslücke dominieren Pressemeldungen und einschlägige Informationsdienste. In der Zwischenzeit ist klar, dass Log4Shell ein Problem ist, mit dem sich nicht nur Unternehmen auseinandersetzen müssen. Jeder von uns ist potentiell betroffen und gefährdet! So berichtet z.B. Sophos:
Log4Shell bedeutet nicht nur Alarmstufe Rot für Unternehmen, sondern auch private Nutzer können durchaus von den Auswirkungen der Lücke betroffen sein. Das gilt vor allem dann, wenn Privatpersonen Cloud-Server nutzen, die von einem Hosting-Unternehmen oder einem anderen Managed-Service-Provider betrieben werden – sei es ein Blog, ein Forum oder die Familienwebsite.
Log4Shell bedeutet nicht nur Alarmstufe Rot für Unternehmen, sondern auch private Nutzer können durchaus von den Auswirkungen der Lücke betroffen sein. Das gilt vor allem dann, wenn Privatpersonen Cloud-Server nutzen, die von einem Hosting-Unternehmen oder einem anderen Managed-Service-Provider betrieben werden – sei es ein Blog, ein Forum oder die Familienwebsite. Die Tatsache, dass vor allem auch populäre und flächendeckend eingesetzten Plattformen wie z. B. Apple iCloud, Steam und Minecraft betroffen sind, zeichnet ein erschreckendes Bild über das Ausmaß der Bedrohung. „Angreifer haben bereits begonnen, aktiv nach der Sicherheitslücke zu scannen und diese auch auszunützen“, berichtet unter anderen IT Sicherheitsanbieter Tenable.
Sind Software und Dienste von World Direct betroffen?
Wir setzen größtenteils auf Technologie von Microsoft (.NET Framework) und sind daher nicht mittelbar betroffen. Eine Prüfung peripherer Dienste und Komponenten hat allerdings ergeben, dass auch wir die Log4j-Komponente in einer der kompromittierenden Versionen im Einsatz haben. Durch schnelles Handeln und wirksame Sofortmaßnahmen haben wir aber sichergestellt, dass die Lücke nicht angreifbar ist und konnten bis heute keine erfolgreichen Angriffsversuche feststellen..
Unser Maßnahmenplan zur Eingrenzung und Neutralisierung der Bedrohung
In enger Abstimmung mit unserem Chief Information Security Officer (CISO) haben wir folgende Maßnahmen zur Eingrenzung und Schließung der Sicherheitslücke bereits getroffen bzw. geplant:
- 12.12.2021:
Sofortiges Update der Intrusion-Prevention-Regeln, um tatsächliche Angriffe abfangen zu können - 13.12.2021:
Aktive Scans der Anwendungen und Dienste auf die veröffentlichten Angriffsvektoren von außen - 13.12.2021:
Analyse sämtlicher Anwendungen und peripheren Dienste auf die Verwendung der schadhaften Komponenten
Risikoeinschätzung der Ausnützbarkeit
Anwendung der empfohlenen Workarounds - 14.12.2021:
Aktive Scans der Anwendungen und Dienste auf die veröffentlichten Angriffsvektoren von innen - 14.12.2021:
Update der Dienste, für die es inzwischen Patches der Hersteller und der Community gibt - Laufend:
Weitere Analyse der neuen Erkenntnisse zu Log4Shell