Warnstufe Rot: Kritische Schwachstelle in Java-Bibliothek

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft. Die Ursache ist eine kritische Schwachstelle mit Namen Log4Shell in der weit verbreiteten Java-Bibliothek Log4j. Nach Einschätzung des Bundesamtes führt sie zu einer "extrem kritischen Bedrohungslage". Experten erwarten, dass vor allem Business-Anwendungen betroffen sein werden.

Ursache der Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte. Die Schwachstelle ist zudem trivial ausnutzbar, ein Proof-of-Concept ist öffentlich verfügbar. Eine Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems. Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet. Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar. Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software-Produkten verankert.

Das BSI empfiehlt insbesondere Unternehmen und Organisationen, die in seiner Cyber-Sicherheitswarnung skizzierten Abwehrmaßnahmen umzusetzen (www.bsi.bund.de). Darüber hinaus sollten die Detektions- und Reaktionsfähigkeiten kurzfristig erhöht werden, um die eigenen Systeme angemessen überwachen zu können. Sobald Updates für einzelne Produkte verfügbar sind, sollten diese eingespielt werden. Darüber hinaus sollten alle Systeme auf eine Kompromittierung untersucht werden, die verwundbar waren. cm/BSI