Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Wochenende seine Warnstufe zu der Sicherheitslücke im Java-Logging log4 von Orange auf Rot hochgesetzt. Als bedroht gelten sowohl Heimanwender als auch Firmen.
Das BSI sieht aktuell eine Erhöhung der IT-Bedrohungslage für Geschäftsprozesse und Anwendungen. Eine kritische Zero-Day-Sicherheitslücke namens Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4j eröffnet Angriffsmöglichkeiten. Ein Angreifer kann also die Sicherheitslücke ausnutzen, indem er manipulierte Anfragen an einen verwundbaren Server oder eine angreifbare Anwendung schickt.
Das Ausnutzen der Lücke wird als recht einfach beschrieben, Apple, Twitter, Amazon und tausende andere Dienste sind anfällig. Aus der ersten Sicht wurden bereits Log4j-Angriffe auf über 500 IP-Adressen registriert.
IT-Sicherheitsfirmen und Java-Spezialisten arbeiteten am Wochenende daran, die Schwachstelle zu stopfen. Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update, das natürlich erst greift, wenn Dienstbetreibeber es installiert haben.
Die IT-Sicherheitsbranche beschreibt einen Wettlauf mit Online-Kriminellen, die die Lücke für spätere Angriffe nutzen werden und fokussiert sich aktuell darauf, herauszufinden wie verbreitet diese Problematik tatsächlich ist.
Privatanwender können den Schutz ihrer Konten derzeit durch die Meidung von öffentlichen WLA-Angeboten und der Nutzung von Zwei-Faktoren-Authentifizierung verbessern.
Zum Nachlesen hier der Link zum BSI:
BSI – Kritische Schwachstelle in Java-Bibliothek log4j (bund.de)
