Wichtiger Sicherheitshinweis: Kritische Schwachstelle in log4j
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Warnstufe „Rot“ für eine kritische Zero-Day-Lücke in der weit verbreiteten Java-Bibliothek „log4j“ ausgerufen.
Das Framework „log4j“ wird zum Protokollieren von Meldungen in Java verwendet und findet in zahlreichen Softwareprodukten Anwendung.
Potenziell gefährdet sind Netzwerke sowie Server- und Cloudsysteme, die durch Software oder Geräte mit der „log4j“-Sicherheitslücke angreifbar sind. Davon betroffen sind sowohl Unternehmen als auch Privatnutzer. Besonders die Nutzung von VPN-Diensten, zum Beispiel im Home Office, soll eine erhöhte Gefahr darstellen.
Die Sicherheitslücke kann mit wenig Aufwand ausgenutzt werden, kann aber bei betroffenen Systemen einen massiven Schaden anrichten.
Das gesamte Ausmaß der Bedrohung kann aktuell nicht vollständig festgestellt werden. Hersteller prüfen aktuell ihre Produkte auf deren Anfälligkeit und veröffentlichen Updates, um die Lücke zu schließen.
Wir empfehlen Ihnen dringend zu prüfen, ob Sie von der Sicherheitslücke betroffen sind.
Wenn Sie Unterstützung oder Beratung zu diesem oder anderen Sicherheitsthemen benötigen, stehen Ihnen die Experten der MetaComp gerne zu Verfügung. Sie erreichen unter telefonisch unter +49 711 78 19 38-0 und per Mail unter info@metacomp.de.
Dazu haben wir Ihnen einige nützliche Links gesammelt:
Pressmitteilung vom BSI:
Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228) (bund.de) [.pdf]
Liste mit Software, bei der log4J zum Einsatz kommt + aktueller Status:
GitHub – log4shell/software at main · NCSC-NL/log4shell
Handlungsempfehlungen von Software-Herstellern:
GitHub – BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-14 0006 UTC
Skripte zur Erkennung von log4j
GitHub – mergebase/log4j-detector
Tool zur Erkennung der log4j-Schwachstelle
Canarytokens
