Eine Zero-Day-Lücke in der weitverbreitenden Java-Bibliothek wurde letzten Freitag durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) hochgestuft. Der CVSS V3 Wert hat die höchste Wertung von 10. Diese Wertung bedeutet einen unmittelbaren Handlungsbedarf.

Um was geht es?

Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen, welche der performanten Aggregation von Protokolldateien einer Anwendung dient. Ein Dienstleister hat nun über die Schwachstelle berichtet (CVE-2021-44228): Angreifer sind durch diese Lücke möglicherweise in der Lage, auf dem Zielsystem eigene Programmcodes auszuführen um so den Server zu kompromittieren.

Wer ist davon betroffen?

Man geht davon aus, dass diese Schwachstelle Auswirkung auf alle aus dem Internet erreichbaren Java-Anwendungen hat, die mit Hilfe von log4j die Nutzeranfragen protokollieren. In vielen Fällen ist für den Endkunden nicht direkt ersichtlich, dass log4j im Einsatz ist.
Wird eine vom Angreifer kontrollierte Zeichenkette mit log4j protokolliert, kann dies bereits schlimme Folgen haben. Beispiel für eine Zeichenkette wäre bereits der HTTP User Agent.

Betroffene Versionen: Log4j 2.0 bis 2.14.1

Was muss nun getan werden?

Applikationen, welche log4j nutzen und aus dem Internet erreichbar sind, sollten vom Internet getrennt werden, sofern kein Upgrade der Applikation oder der log4j-Bibliothek möglich sein sollte. Ist ein Upgrade de log4j-Bibliothek möglich, sollte dringend ein Update auf die aktuelle Version 2.15.0 durchgeführt werden. In vielen Fällen ist die Nutzung der log4j-Bibliothek tief in der Applikation «versteckt» und nicht direkt durch den Administrator der Applikation ersichtlich. Basiert die Applikation auf Java, wird mit grosser Wahrscheinlichkeit log4j genutzt.

Wir raten derzeit dringend ein Update auf die aktuelle Version 2.15.0 von log4j in allen Anwendungen. Ist ein Upgrade nicht möglich, sollten die aus dem Internet erreichbaren Applikationen vom Internet getrennt werden.

16.12.2021 – Hotfix für Cisco ISE (Identity Services Engine) verfügbar:

https://software.cisco.com/download/home/283801620/type/283802505/release/Log4j2-fix-2.4-3.0

Permanente Sicherheitsüberwachung durch CSIC®

  • Mit unserem CSIC® (Cyber Security Intelligence Center) Service erlangen Sie die vollständige Überwachung im Netzwerk und auf Ihren Systemen, um Attacken zu erkennen und diese erfolgreich abzuwehren.
  • Wir reagieren für Sie 365 Tage im Jahr und 24 Stunden am Tag auf Angriffe und wichtige Ereignisse.
  • Dank einer einfachen Integration unseres Service können wir Sie umgehend unterstützen.
  • Sorgen Sie auch für die Zukunft, dieser Zero Day Exploit wird nicht der letzte sein.
  • Kontaktstelle – Selution Cyber Security Hotline: +41 58 531 00 11 oder Kontaktformular ausfüllen: