Seit dem 10.12.2021 warnte das BSI vor einer extrem kritischen Bedrohung in der Java-Bibliothek "Log4j". Die Sicherheitslücke (CVE-2021-44228) hat den Namen "Log4Shell" erhalten und führte zur potenziellen Verwundbarkeit von global mehreren Milliarden Computern. Diese Bedrohungslage hat sich nach Ansicht des BSI deutlich entspannt. Das BSI hat daher die Warnstufe der Cyber-Sicherheitswarnung (CSW 2021-549177-1232) am 12.01.2022 von Rot auf Gelb herabgesetzt.

Was bedeutet das für Verbraucherinnen und Verbraucher?

Die größte Gefahr stellt die Schwachstelle "Log4Shell" für Betreiber von Servern und Rechenzentren dar. Dennoch können Verbraucherinnen und Verbraucher angreifbar sein, zum Beispiel wenn auf privaten Geräten verwundbare Log4j-Versionen eingesetzt werden. Selbst wenn nicht, könnten Anwenderinnen und Anwender Schaden davontragen, indem ihre Daten gestohlen werden, wichtige Dienste ausfallen oder ihre Systeme infiziert werden:

• Sofern die Hersteller Ihrer IT, Ihrer Betriebssysteme oder Ihrer installierten Programme Updates zur Verfügung stellen, sollten Sie diese umgehend installieren.

Was ist "Log4j"?

"Log4j" ist eine weit verbreitete Bibliothek für Java-Anwendungen. Eine Bibliothek ist Software, die zur Umsetzung einer bestimmten Funktionalität in weitere Produkte eingebunden wird. Sie ist daher oftmals tief in der Architektur von Software-Produkten verankert. Die Bibliothek "Log4j" stellt zum Beispiel Funktionalitäten zur Protokollierung von Programmaktivitäten zur Verfügung. Diese Protokolle dienen oft der Fehlersuche und sind deshalb in Software üblich. Da "Log4j" diese Meldungen bislang schnell und effizient verwaltet hat, wurde die Bibliothek von vielen Systemadministratoren und Programmierern auf der ganzen Welt in Systeme eingebaut.

Warum ist die Schwachstelle "Log4Shell" so gefährlich?

Die Schwachstelle "Log4Shell" ermöglicht Cyber-Kriminellen, Eingaben etwa auf einem Zielserver vorzunehmen, um dann Schadsoftware auszuführen oder sogar die Kontrolle über das gesamte System zu übernehmen. Das geht auf einfachste Weise, z. B. durch spezielle Befehle in einem Chat oder einer Konsole, sodass das attackierte System jegliche Eingaben des Angreifers zulässt und er schließlich die Kontrolle über die Funktionen und Daten erlangt, die auf diesem System gespeichert sind.

Das bedeutet, dass nun Produkte zahlreicher Internetkonzerne schwerwiegende Sicherheitslücken aufweisen, aber auch diverse Homeoffice-Anwendungen zeitweise als unsicher gelten. Die kritische Schwachstelle "Log4Shell" hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von "Log4j" Teile der Nutzeranfragen protokollieren.

Welche Systeme sind verwundbar?

Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar. Weltweit führen Cyber-Sicherheitsbehörden, Unternehmen und CERTs Massenscans durch und entdecken verwundbare Systeme sowie bereits erfolgreich durchgeführte Angriffe. Aktuell ist davon auszugehen, dass "Log4j" in den Versionen 1.x bis 2.14.1 verwundbar ist. Die Schwachstelle wurde mit dem höchstmöglichen CVSS-Score von 10,0 bewertet. Zusätzlich wurde eine Schwachstelle (CVE-2021-45046) in der Version 2.15 mit dem CVSS-Score 9,0/10 identifiziert, die in der Version 2.16.0 behoben wurde. Neben großer Rechenzentren und Unternehmensserver können aber auch Netzwerktechnologien und Systemkomponenten "Log4j" einsetzen, die bei kleinen und mittelständischen Firmen oder bei Verbraucherinnen und Verbrauchern im Betrieb sind. Die Hersteller dieser Systeme stellen teilweise bereits Updates zur Verfügung.

Was tue ich, wenn ich selbst Administrator bin und Log4j nutze?

• Führen Sie das Update auf die aktuelle Version >= 2.17 von "Log4j" schnellstmöglich in allen Anwendungen durch!
• Spielen Sie Updates Ihrer übrigen Geräte und Dienste ein, sobald sie zur Verfügung stehen!
• Schalten Sie nicht zwingend benötigte Systeme ab.
• Prüfen Sie, mit welchen Rechten die betroffenen Dienste versehen sind und reduzieren Sie diese auf das notwendige Minimum.
• Server sollten generell nur solche Verbindungen (insbesondere in das Internet) aufbauen dürfen, die für den Einsatzzweck zwingend notwendig sind.
• Weitere Maßnahmen für Administratoren

Für weitere aktuelle Informationen rund um die IT-Sicherheit können Sie den BürgerCert-Newsletter und die Sicherheitshinweise des BSI abonnieren.