Deutschlands IT-Sicherheitsbehörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI), warnt auf höchster Stufe: „Systeme abschalten, Verbindungen blockieren“.
Im Internet tobt gerade ein Wettlauf zwischen guten und bösen Hackern – wegen der massiven Zero-Day-Lücke in der Java-Bibliothek Log4j: Das BSI rät wegen der Zero-Day-Lücke jetzt zu extremen Maßnahmen, denn Schadcode soll darüber direkt ausführbar sein.
Inzwischen hat das BSI die am Freitag bekannt gewordene Zero-Day-Lücke in der weit verbreiteten Java-Bibliothek Log4j nachträglich hochgestuft. Es gilt nun die höchste Warnstufe „Rot“. Man habe festgestellt, dass die Schwachstelle ohne explizites Nachladen von Schadcode ausgenutzt werden könne, womit viele der zuvor empfohlenen Gegenmaßnahmen ins Leere laufen dürften.
Der Schadcode steckt schon in der Anfrage
Bösartiger Code könne schon direkt in der Abfrage enthalten sein, sodass auch Grundschutz-konforme Systeme gefährdet seien, die keine Verbindung ins Internet aufbauen können.
Die neuen Empfehlungen des BSI
Jetzt empfiehlt das BSI als akute Maßnahmen, nicht zwingend benötigte Systeme abzuschalten, Netzwerke in Segmente aufzuteilen, um verwundbare Systeme zu isolieren und soweit möglich etwa durch den Einsatz von Proxies Inhalte in den HTTP-Headern durch statische Werte überschreiben zu lassen.
Auch sollten auf Systemen, die unabdingbar für Geschäftsprozesse sind und deshalb nicht abgeschaltet werden können, ein umfangreiches Logging erfolgen, mit dem auch ein- sowie ausgehende Verbindungen protokolliert werden, um im Nachhinein herausfinden zu können, ob ein solches System kompromittiert wurde.
Viele Programme nutzen Log4j und sind deshalb gefährdet
Leider steckt die Java-Bibliothek Log4j als Komponente in extrem vielen Java-Anwendungen. Deshalb ist aktuell noch nicht absehbar, wie viele Internetdienste auch von namhaften Unternehmen von der Zero-Day-Lücke betroffen sind, die das Ausführen von beliebigem Code erlaubt.
Auf GitHub gibt es eine noch rudimentäre Liste von Diensten, bei denen der am Freitag veröffentlichte Proof-of-Concept-Code (PoC) der Pen-Testing-Gruppe 0x0021h angeschlagen hat.
Da sieht man als Betroffene ein Who-is-Who der bekanntesten Untzernehmen – das geht von Amazon und Apple über CloudFlare, Google, IBM, Tesla und Twitter bis hin zu VMWare.
Genau genommen trifft das dann letztlich natürlich die Kunden, die Software mit Log4j –Lücke von diesen Unternehmen einsetzen.
Auch kleine Firmen und Heimanwender gefährdet
Die Bibliothek Log4j steckt auch in vielen Netzwerk- und Systemkomponenten, die in großen und kleinen Firmen, aber auch von Privatpersonen und Mitarbeitern im Home-Office genutzt werden. Beispielsweise hat Ubiquiti, ein Unternehmen das Heimanwender vor allem durch seine Meshing-fähigen WLAN Access Points (Stichwort: Freifunk) bekannt, schon eingeräumt, dass das Konfigurations- und Verwaltungs-Frontend UniFi Network Application verwundbar ist und ein Update bereitgestellt.