Das Ausmaß der Log4J-Lücke ist laut BSI derzeit noch nicht absehbar. Und der Log4J-Maintainer wird für die Arbeit offenbar nicht bezahlt.
Wohl wegen der sehr großen Tragweite der Log4J-Lücke (CVE-2021-44228) warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen mit der höchsten Warnstufe "4/Rot" vor der Log4J-Lücke. Weiter heißt es: "Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar." Das BSI warnt außerdem eindrücklich davor, dass die Lücke bereits aktiv ausgenutzt werde, etwa für Kryptominer oder andere Schadsoftware.
Anders als bisher angenommen gilt inzwischen auch die Version 1 von Log4J unter bestimmten Umständen als verwundbar für den Angriff, nicht nur Version 2. Die Version 1 wird jedoch seit einigen Jahren nicht mehr offiziell gepflegt und ist End-of-Life (EOL).
Tragweite immer noch nicht absehbar
Das Unternehmen Cloudflare und andere vergleichen die Log4J-Lücke, die mittlerweile auch als Log4Shell bezeichnet wird, mit Heartbleed oder Shellshock. Immerhin ist möglicherweise ein Großteil der Server im Internet betroffen. Das BSI schreibt dazu: "Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von Log4j Teile der Nutzeranfragen protokollieren."
Betroffen ist auch das besondere elektronische Anwaltspostfach (BeA). Dieses ist derzeit nicht verfügbar, wie die Betreiber mitteilen. Auch darin kommt Log4J zum Einsatz. Dazu heißt es: "Die Schwachstelle kann durch Anpassung einer Konfiguration behoben werden. Wir sind aktuell dabei, diese für alle BeA-Komponenten möglichst schnell durchzuführen." Das betrifft auch den Client, der mit Version 3.9.0.7 bereits ein Update für die Lücke enthält.
Cloudflare durchsucht sämtliche Java-Instanzen
Es ist oftmals schwer herauszufinden, welche Anwendungen Log4J etwa als Abhängigkeit benutzen. In seinem Unternehmensblog beschreibt Cloudflare exemplarisch sein Vorgehen dazu. Demnach hat das Unternehmen einfach sämtliche seiner JVM-Instanzen untersucht und herausgefunden, dass seine Instanzen von "Elasticsearch, Logstash und Bitbucket" verwundbar gewesen seien.
Inzwischen gibt es auch zahlreiche eigene Sicherheitshinweise von Herstellern auf die Lücke. Dazu gehören Apache Kafka, Broadcom, Cisco, F-Secure, Netapp, Sophos, Unifi oder auch VMware. Auf Github werden einige weitere Anwendungen als auch Webdienste als verwundbar beschrieben.
Log4J als Hobby gepflegt
Zu dem Projekt Log4J selbst verweist die Apache Software Foundation, unter deren Dach Log4J angesiedelt ist, darauf, dass zwei Betreuer dafür über Github Sponsors finanziert werden können. Dabei handelt es sich um Ralph Goers und Gary Gregory, die beide als Teil der Projektleitung von Log4J gelistet werden. Vollzeit arbeiten sie aber offenbar nicht an der Pflege des Werkzeugs.
So schreibt Goers auf seiner Github-Sponsors-Seite: "Ich habe derzeit einen Vollzeitjob als Software-Architekt. In meiner Freizeit arbeite ich an Log4j und anderen Open-Source-Projekten." Dass eine derart weit verbreitete Open-Source-Software schlecht gepflegt wurde, war auch zum Zeitpunkt der Heartbleed-Lücke in OpenSSL der Fall.
Log4Shell: BSI vergibt höchste Warnstufe für Log4J-Lücke - Golem.de - Golem.de
Read More
No comments:
Post a Comment