Systeme abschalten, Verbindungen blockieren: Das BSI rät wegen der Zero-Day-Lücke in Log4j zu extremen Maßnahmen, Schadcode soll direkt ausführbar sein.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die am Freitag bekannt gewordene Zero-Day-Lücke in der weit verbreiteten Java-Bibliothek Log4j nachträglich hochgestuft. Es gilt nun die höchste Warnstufe Rot. Man habe beobachtet, dass die Schwachstelle ohne explizites Nachladen von Schadcode ausgenutzt werden könne, womit ein Großteil der zuvor empfohlenen Gegenmaßnahmen ins Leere läuft.

Maliziöser Code könne direkt in der Abfrage enthalten seien, sodass auch Grundschutz-konforme Systeme gefährdet seien, die keine Verbindung ins Internet aufbauen können. Als akute Maßnahmen empfiehlt das BSI, nicht zwingend benötigte Systeme abzuschalten, Netzwerke zu segmentieren, um verwundbare Systeme zu isolieren und soweit wie möglich etwa durch den Einsatz von Proxies in HTTP-Headern Inhalte durch statische Werte überschreiben zu lassen. Außerdem sollte auf Systemen, die unabdingbar für Geschäftsprozesse sind und nicht abgeschaltet werden können, ein umfangreiches Logging erfolgen und auch ein- sowie ausgehende Verbindungen protokolliert werden, um im Nachgang leichter herausfinden zu können, ob ein System kompromittiert wurde.

Weil die Java-Bibliothek Log4j als Komponente in extrem vielen Java-Anwendungen steckt, ist im Moment nicht absehbar, wie viele Internetdienste auch von namhaften Firmen von der Zero-Day-Lücke betroffen sind, die das Ausführen von beliebigem Code erlaubt. Auf GitHub gibt es eine bei weitem nicht vollständige Liste von Diensten, bei denen der am Freitag veröffentlichte Proof-of-Concept-Code (PoC) der Pen-Testing-Gruppe 0x0021h angeschlagen hat. Es ist ein Who-is-Who der bekanntesten Firmen und reicht von Amazon und Apple über CloudFlare, Google, IBM, Tesla und Twitter bis zu VMWare.

Doch nicht nur Großkonzerne sind gefährdet, Log4j steckt auch in vielen Netzwerk- und Systemkomponenten, die auch in kleinen Firmen, aber auch von Privatpersonen und Mitarbeitern im Home-Office eingesetzt werden. So hat Ubiquiti, bei Heimanwendern vor allem für seine Meshing-fähigen WLAN Access Points bekannt, bereits eingeräumt, dass das Konfigurations- und Verwaltungs-Frontend UniFi Network Application verwundbar ist und ein Update bereitgestellt.

Für Firmen, deren Mitarbeiter derzeit Corona-bedingt von zu Hause aus arbeiten und sich mit ihren privaten Rechnern per VPN ins interne Firmennetzwerk einklinken, ist dies eine alarmierende Nachricht. Die UniFi Network Application kommt aber auch in vielen Hotels, Geschäften, Banken, Arztpraxen und kleinen Firmen zum Einsatz, um Besuchern mittels Vouchern einen Internetzugang via Gäste-WLAN anzubieten. Auch Netzwerkkomponenten anderer Hersteller könnten von der Lücke betroffen sein, Cisco etwa hat ebenfalls schon einige verwundbare Produkte entdeckt, bei Dutzenden anderen Cisco-Produkten laufen die Untersuchungen noch. Die meisten Hersteller hüllen sich aktuell jedoch noch in Schweigen.

Es sind aber nicht nur Server und Netzwerkkomponenten von der Log4j-Lücke betroffen, laut Cisco ist auch das Kameraüberwachungssystem Cisco Video Surveillance Operations Manager verwundbar. In Zugangssystemen wie digitalen Schließsystemen und in der Automatisierungstechnik sowie Smart Home ist Java ebenfalls weit verbreitet – ob auch diese Systeme durch die Zero-Day-Lücke in Log4j kompromittierbar sind, weiß noch niemand.

Sicherheitsspezialisten auf der ganzen Welt arbeiten trotz Wochenende fieberhaft daran, verwundbare Systeme zu identifizieren und Lücken zu stopfen. Sie liefern sich einen Wettlauf mit den Angreifern, die derzeit ebenfalls Überstunden schieben. Laut der Pressemitteilung wurden dem BSI aus mehreren CERT-Quellen weltweite Massenscans und Angriffe gemeldet, es gebe auch erste erfolgreiche Kompromittierungen, unter anderem mit Kryptominern. Das BSI empfiehlt, zur Verfügung stehende Updates sofort einzuspielen und qualifiziertes IT-Personal einzusetzen, um kritische, vor allem von außen erreichbare Systeme engmaschig zu überwachen. Für Admins bedeutet dies alles andere als ein ruhiges Wochenende. (mid)

Quelle: heise.de