Anzeige

Sicherheitsschwachstelle

Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Das Blog eines Dienstleisters für IT-Sicherheit berichtet über die Schwachstelle CVE-2021-44228 in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren.

Diese Gefahr besteht dann, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie Beispielsweise den HTTP User Agent zu protokollieren. Ein Proof-of-Concept (PoC) der Schwachstelle wurde auf Github veröffentlicht und auf Twitter geteilt. Neben dem PoC existieren auch Beispiele für Skripte, die Systeme stichprobenartig auf Verwundbarkeit hin untersuchen. Skripte solcher Art können zwar Administratoren keine Sicherheit über die Verwundbarkeit geben, aber erlauben Angreifern kurzfristig rudimentäre Scans nach verwundbaren Systemen.

Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet
erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.

Bewertung

Log4j wird in vielen Java-Anwendungen eingesetzt. Die Hürden für eine aktive, breite Ausnutzung sind durch die Verfügbarkeit eines PoC sehr gering. Das Patchmanagement von Java-Anwendungen ist nicht trivial, sodass bis zu einer Update-Möglichkeit die kurzfristigen Mitigationen empfohlen werden. Wenngleich das Nachladen von Schadcode über den im PoC aufgezeigten Weg bei Grundschutz-konform eingerichteten Systemen fehlschlagen sollte, sind auch andere Wege denkbar, ggf. auch automatisiert und ohne Nachladen Schadcode zur Ausführung zu bringen. Hierbei ist die Komplexität im Vergleich zum PoC deutlich erhöht.

Maßnahmen

Server sollten generell nur solche Verbindungen (insbesondere in das Internet) aufbauen dürfen, die für den Einsatzzweck zwingend notwendig sind. Andere Zugriffe sollten durch entsprechende Kontrollinstanzen wie Paketfilter und Application Layer Gateways unterbunden werden. Es sollte entsprechend dem Grundschutzbaustein ein Update auf die aktuelle Version 2.15.0 von log4j in allen Anwendungen sichergestellt werden. Da Updates von Abhängigkeiten in Java-Anwendungen häufig nicht zeitnah erfolgen können, sollte bis dahin die folgende Mitigationsmaßnahme ergriffen werden: Die Option "log4j2.formatMsgNoLookups" sollte auf "true" gesetzt werden, indem die Java Virtual Machine mit dem Argument

"–Dlog4j2.formatMsgNoLookups=True”


gestartet wird.


Achtung:
Diese Maßnahme kann die Funktionsweise der Applikation beeinträchtigen, wenn die Lookup-Funktion tatsächlich verwendet wird.

www.bsi.bund.de


Weitere Artikel

Elektronische Geräte

Refurbished-IT: Großes Interesse an gebrauchten Geräten

Gebraucht, aber neuwertig, professionell aufbereitet und in der Regel mit Garantie: Der wachsende Refurbished-Markt für Geräte wie Smartphones, Tablets oder Laptops weckt das Interesse der Verbraucherinnen und Verbraucher in Deutschland.
iPhone SE

Kein Homebutton bei neuer iPhone SE-Variante? Details offenbar geleakt

Im Internet sind Fotos aufgetaucht, die vorab einige Details zum neuen iPhone SE zeigen sollen, das womöglich im März oder April erscheinen könnte.
Cybercrime

Cyberattacke auf IT-Dienstleister der Landeshauptstadt Schwerin

Update Mi, 19.01.2022, 15:05 Uhr Die Schäden durch den Cyberangriff auf den IT-Dienstleister der Landeshauptstadt sollen bis zum Ende des ersten Quartals behoben werden. Die meisten Fachverfahren stünden bereits wieder in gewohntem Umfang zur Verfügung, hieß…
Cybercrime

Europol gelingt Schlag gegen Infrastruktur von Cyberkriminellen

In einer global koordinierten Aktion von 13 Behörden wurden am 17. Januar insgesamt 15 Server, auf denen der Dienst von VPNLab.net gehostet wurde, beschlagnahmt oder vom Netz genommen, wie Medien berichten. Nach Behördenangaben war VPNLab.net ein beliebter…
Christian Bücker und Brian Lieser

Belden Gruppe übernimmt macmon secure

Der Anbieter für Netzwerkzugangskontrolle, die macmon secure GmbH, Berlin, gibt heute seine Akquisition durch Belden Inc. bekannt. Zukünftig wird macmon Teil von Beldens Industrial Network Solutions (INS) Business unter der Leitung von Brian Lieser, welche…
Sicherheitslücke

Sicherheitslücken in chinesischer Olympia-App My2022 gefunden

Ausländische Forscher haben Sicherheitslücken in der chinesischen Olympia-App «My2022» entdeckt. Persönliche Informationen könnten wegen einer «einfachen, aber verheerenden Schwachstelle» der Verschlüsselungstechnik bei der Übertragung abgefangen werden,…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.