Höchste Warnstufe für die Zero-Day-Lücke Log4j

Die Zero-Day-Lücke in der oft genutzten Java-Bibliothek Log4j wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in die höchste Warnstufe Rot eingestuft. Die Schwachstelle kann ohne explizites Nachladen von Schadcode ausgenutzt werden. Nicht nur Großkonzerne, sondern auch Heimanwender und Firmen sind von der Lücke betroffen.

Die Log4j-Bibliothek wird in einer Vielzahl von Softwareprodukten eingesetzt. Deshalb besteht eine akute Gefährdungslage, da bei ungepatchten angreifbaren Systemen Schadcode direkt mit einer Abfrage eingeschleust werden kann. Es wird empfohlen, nicht dringend benötigte Systeme abzuschalten, Netzwerke zu segmentieren, um verwundbare Systeme zu isolieren und so weit wie möglich etwa durch den Einsatz von Proxys in HTTP-Headern Inhalte durch statische Werte überschreiben zu lassen.

Für Systeme, welche nicht abgeschaltet werden können, sollte ein umfangreiches Logging erfolgen. Zudem sollten ein- und ausgehende Verbindungen protokolliert werden.

Listen mit Sicherheitswarnungen für Produkte sind verfügbar über folgende Links:

• https://github.com/NCSC-NL/log4shell/tree/main/software
• https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/
• https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Einige der Links verweisen direkt auf die Herstellerseiten, die neben Informationen zur Betroffenheit auch Updates für Ihre Produkte bereitstellen.

Weitere Informationen finden Sie unter:

• https://bsi.bund.de/dok/log4j
• www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html
• https://www.zdnet.com/article/log4j-rce-activity-began-on-december-1-as-botnets-start-using-vulnerability/