Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen
Systeme abschalten, Verbindungen blockieren: Das BSI rät wegen der Zero-Day-Lücke in Log4j zu extremen Maßnahmen, Schadcode soll direkt ausführbar sein.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die am Freitag bekannt gewordene Zero-Day-Lücke in der weit verbreiteten Java-Bibliothek Log4j nachträglich hochgestuft. Es gilt nun die höchste Warnstufe Rot. Man habe beobachtet, dass die Schwachstelle ohne explizites Nachladen von Schadcode ausgenutzt werden könne, womit ein Großteil der zuvor empfohlenen Gegenmaßnahmen ins Leere läuft.
Maliziöser Code könne direkt in der Abfrage enthalten seien, sodass auch Grundschutz-konforme Systeme gefährdet seien, die keine Verbindung ins Internet aufbauen können. Als akute Maßnahmen empfiehlt das BSI, nicht zwingend benötigte Systeme abzuschalten, Netzwerke zu segmentieren, um verwundbare Systeme zu isolieren und soweit wie möglich etwa durch den Einsatz von Proxies in HTTP-Headern Inhalte durch statische Werte überschreiben zu lassen. Außerdem sollte auf Systemen, die unabdingbar für Geschäftsprozesse sind und nicht abgeschaltet werden können, ein umfangreiches Logging erfolgen und auch ein- sowie ausgehende Verbindungen protokolliert werden, um im Nachgang leichter herausfinden zu können, ob ein System kompromittiert wurde.
Weil die Java-Bibliothek Log4j als Komponente in extrem vielen Java-Anwendungen steckt, ist im Moment nicht absehbar, wie viele Internetdienste auch von namhaften Firmen von der Zero-Day-Lücke betroffen sind, die das Ausführen von beliebigem Code erlaubt. Auf GitHub gibt es eine bei weitem nicht vollständige Liste von Diensten, bei denen der am Freitag veröffentlichte Proof-of-Concept-Code (PoC) der Pen-Testing-Gruppe 0x0021h angeschlagen hat. Es ist ein Who-is-Who der bekanntesten Firmen und reicht von Amazon und Apple über CloudFlare, Google, IBM, Tesla und Twitter bis zu VMWare.
Auch Heimanwender gefährdet
Doch nicht nur Großkonzerne sind gefährdet, Log4j steckt auch in vielen Netzwerk- und Systemkomponenten, die auch in kleinen Firmen, aber auch von Privatpersonen und Mitarbeitern im Home-Office eingesetzt werden. So hat Ubiquiti, bei Heimanwendern vor allem für seine Meshing-fähigen WLAN Access Points bekannt, bereits eingeräumt, dass das Konfigurations- und Verwaltungs-Frontend UniFi Network Application verwundbar ist und ein Update bereitgestellt.
Für Firmen, deren Mitarbeiter derzeit Corona-bedingt von zu Hause aus arbeiten und sich mit ihren privaten Rechnern per VPN ins interne Firmennetzwerk einklinken, ist dies eine alarmierende Nachricht. Die UniFi Network Application kommt aber auch in vielen Hotels, Geschäften, Banken, Arztpraxen und kleinen Firmen zum Einsatz, um Besuchern mittels Vouchern einen Internetzugang via Gäste-WLAN anzubieten. Auch Netzwerkkomponenten anderer Hersteller könnten von der Lücke betroffen sein, Cisco etwa hat ebenfalls schon einige verwundbare Produkte entdeckt, bei Dutzenden anderen Cisco-Produkten laufen die Untersuchungen noch. Die meisten Hersteller hüllen sich aktuell jedoch noch in Schweigen.
Sicherheitssysteme betroffen
Es sind aber nicht nur Server und Netzwerkkomponenten von der Log4j-Lücke betroffen, laut Cisco ist auch das Kameraüberwachungssystem Cisco Video Surveillance Operations Manager verwundbar. In Zugangssystemen wie digitalen Schließsystemen und in der Automatisierungstechnik sowie Smart Home ist Java ebenfalls weit verbreitet – ob auch diese Systeme durch die Zero-Day-Lücke in Log4j kompromittierbar sind, weiß noch niemand.
Sicherheitsspezialisten auf der ganzen Welt arbeiten trotz Wochenende fieberhaft daran, verwundbare Systeme zu identifizieren und Lücken zu stopfen. Sie liefern sich einen Wettlauf mit den Angreifern, die derzeit ebenfalls Überstunden schieben. Laut der Pressemitteilung wurden dem BSI aus mehreren CERT-Quellen weltweite Massenscans und Angriffe gemeldet, es gebe auch erste erfolgreiche Kompromittierungen, unter anderem mit Kryptominern. Das BSI empfiehlt, zur Verfügung stehende Updates sofort einzuspielen und qualifiziertes IT-Personal einzusetzen, um kritische, vor allem von außen erreichbare Systeme engmaschig zu überwachen. Für Admins bedeutet dies alles andere als ein ruhiges Wochenende. (mid)
Quelle: heise.de
Suche
Kategorien
- Brexit: IT-Branche bedauert Austritt der Briten aus der EU Freitag, 24. Juni 2016
- Google veröffentlicht Riesen-Patch-Paket für Android Freitag, 20. Januar 2017
- AVM entweicht geheimer FritzBox-Schlüssel Sonntag, 13. November 2016
- Erpressungs-Trojaner: Neue Locky-Welle infiziert Computer Freitag, 24. Juni 2016
- Upgrade auf Windows 10: Drückermethode wird noch aggressiver Dienstag, 31. Mai 2016
- Ho Ho Ho! Frohes Fest Freitag, 24. Dezember 2021
- Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen Montag, 13. Dezember 2021
- Bericht: Android-Trojaner GriftHorse kassiert bei über 10 Millionen Opfern ab Samstag, 2. Oktober 2021
- Achtung, dringender Handlungsbedarf: Ist Ihre UTM Firmware auf dem neuesten Stand? Dienstag, 21. September 2021
- Jetzt patchen! Kritische Lücke bedroht WordPress 3.7 bis 5.7 Mittwoch, 19. Mai 2021
- Fahed Fatnassi: Das Gerät vereint einen leistungsst... Montag, 13. Dezember 2021
- Ralf Küpper: geiles Bild aber die Speaker sind s... Montag, 13. Dezember 2021
- Detlef: Professionelle Beratung. Man nahm s... Montag, 13. Dezember 2021
- netzwerkstudio: Hochwertig verarbeitet, modular und... Montag, 13. Dezember 2021
- netzwerkstudio: Hervorragende Verarbeitung, sehr mo... Montag, 13. Dezember 2021