log4j - Kritische Schwachstelle in Java-Anwendung - IT-Bedrohungslage geld

In der Java-Anwendung log4j gibt es eine kritische Schwachstelle. Insbesondere Betreiber von Webserver müssen prüfen und beobachten. Im Falle einer Kompromittierung gelten Meldepflichten.

Letzte Aktualisierung: 14.01.2022, 14:20

Übersicht

Mit der Schwachstelle log4shell in der Java-Bibliothek log4j, welche für die Protokollierung von Webserver-Aktivitäten genutzt wird, gibt es weltweit eine äußert kritische Situation, da unzählige Systeme davon betroffen sind. Über die Schwachstelle können Angreifer Schadcode in die Systeme einbringen und diese damit unter Kontrolle bringen bzw. anderweitige Angriffe vorbereiten.

Wer ist betroffen?

Alle Betreiber von Server-Infrastruktur sind potentiell betroffen. Die zentralen Systeme der Universität (HISinOne, myAccount, ILIAS, Shibboleth, ...) wurden geprüft und finden sich unter engmaschiger Beobachtung. In den dezentralen Einrichtungen sind IT-Beauftragte und IT-Administrator*innen gehalten, die dortigen Systeme zu prüfen und entsprechend den Empfehlungen (siehe unten) zu handeln; Meldepflichten im Falle von Kompromittierungen sind einzuhalten.

Hinweise des Bundesamt für Informationsstechnik (BSI)

Das BSI aktualisiert regelmäßig die Sicherheitswarnung zur log4j unter https://bsi.bund.de/dok/log4j

Letzte Neuigkeiten

Das BSI hat am 12.01.2022 die log4shell-Schwachstelle mit IT-Bedrohungslage gelb (2) eingestuft. Es ist dennoch weiterhin davon auszugehen, dass bei einer unerkannten Erstinfektionen in den kommenden Wochen und Monaten mit Angriffen zu rechnen ist. Ein Update auf die Version 2.17.1 stellt aktuell die sicherste Lösung dar.
Die ersten Würmer auf Basis von Mirai-Bots nutzen die Schwachstellen bei log4j nun systematisch und automatisiert aus (Ransomware-as-a-Service; siehe: https://www.heise.de/news/Erster-Wurm-kriecht-durch-Log4j-Sicherheitsluecke-6299080.html).
2021-12-20: Mit v2.17.0 steht nun die neueste Version von log4j zur Verfügung, die vor allem die Schwachstellen CVE-2021-45105 adressiert (siehe: https://logging.apache.org/log4j/2.x/).
Es geht aktuell um drei Schwachstellen: CVE-2021-45105 (Gefährdung: Denial-of-Service-Attacke DoS), CVE-2021-45046 (Gefährdung: Remote Code Execution RCE), CVE-2021-44228 (Gefährdung: Remote Code Execution).

Weitere Empfehlungen für Erste-Hilfe-Maßnahmen und für die weitere Beobachtung

Der log4j-"Booster" ist der Umstieg auf die Version v2.17.1 von log4j. Dies sollte bei allen gefährdeten Anwendungen die Zielsetzung sein.
HiSolutions gibt hilfreiche technische Empfehlungen für den Umgang mit der Schwachstelle, siehe: https://research.hisolutions.com/2021/12/log4shell-schwachstelle-in-log4j-ueberblick/
Das DNF-CERT veröffentlicht seine Empfehlungen unter: https://www.dfn-cert.de/aktuell/log4j-kritische-schwachstelle-CVE-2021-44228.html
Das KIT-CERT stellt ebenfalls hilfreiche Informationen bereit: https://www.cert.kit.edu/p/cve-2021-44228

Meldepflichten

Im Falle einer Kompromittierung sind gesetzliche und behördliche Meldepflichten einzuhalten. Wenden Sie sich hierzu bitte an security@uni-freiburg.de.

Ersteintrag vom 12.12.2021:

Die Eskalation der Schwachstelle CVE-2021-44228 bzgl. der Java-Anwendung log4j hat nun auf BSI-Ebene die IT-Bedrohungslage rot erreicht - siehe

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html

Zur Schwachstelle:

"Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung.

[...]

Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.

[...]

Aus mehreren CERT-Quellen erreichten das BSI Benachrichtigungen über weltweite Massenscans und versuchte Kompromittierungen. Es gibt bereits erste Meldungen über erfolgreiche Kompromittierungen (bislang u.a. mit Kryptominer).

[...]

Es sind zudem Ausnutzungen der Schwachstelle zu beobachten, die kein explizites Nachladen eines Schadcodes benötigen und einen maliziösen Code direkt in der Abfrage enthalten. Dies gefährdet auch Grundschutz-konforme Systeme, die i.d.R. keine Verbindung ins Internet aufbauen können.
"

Details und erste Maßnahmen finden sich unter obigen Link beim BSI.

Insbesondere Server-Betreiber im öffentlichen Netz sollten prüfen, ob der Server log4j nutzt. Zu den betroffenen Systemen gehören Apache und VMWare.

Beim Verdacht auf eine Kompromittierung auf Basis dieses Schwachstelle, wenden Sie sich bitte an security@uni-freiburg.de .

abgelegt unter: IT-Sicherheit