Lineback Aktuell

BSI meldet „Code Red“

von Sarah Weiß, 13.12.2021

Wer sich mit BSI-Meldungen befasst, kennt die TLP-Level Weiß bis Rot. Nun gab es ein TLP.WHITE, also eine Sicherheitslücke, für die unbegrenzte Weitergabe erlaubt ist, die entsprechend aber auch die IT-Bedrohungslage Rot beschreibt. Es geht um eine Protokollierungsbibliothek für Java-Anwendungen namens Log4j und die betroffenen Hersteller sind so zahlreich wie namhaft (z. B. VMWare, UniFi, Apache).

 

Die kritische Schwachstelle in Log4j (Versionen 2.0 bis 2.14.1) trägt den sperrigen Namen CVE-2021-44228, wird in vielen Java-Anwendungen verwendet und hat ggf. Auswirkungen auf Java-Anwendungen, die aus dem Internet erreichbar sind. Mit log4j werden Teile der Nutzeranfragen protokolliert und das können Angreifer unter Umständen nutzen, um auf dem Zielsystem Programmcode auszuführen und Server zu kompromittieren, wenn Log4j dazu verwendet wird, eine vom Angreifer kontrollierte Zeichenkette (z. B. HTTP User Agent) zu protokollieren.

 

Weil Log4j in zahlreichen Java-Anwendungen eingesetzt wird und die Hürden zur Ausnutzung als sehr gering einzustufen sind und das Patchmanagement bei Java-Anwendungen nicht trivial ist, sollten Update-Möglichkeiten auf die aktuelle Version 2.15.0 von log4j genutzt oder kurzfristige Mitigationen genutzt werden – die können zwar dazu führen, dass die Funktionsweise von Applikationen beeinträchtigt wird, aber bevor es zu Datenabflüssen kommt, wohl verschmerzbar. Grundsätzlich sollten Server nur Verbindungen aufbauen dürfen, die auch wirklich erforderlich sind, Privacy by Design bzw. Pricacy by Default eben …