14 DEZEMBER 2021

Kritische Sicherheitslücke in Java-Bibliothek «Log4j» – “CVE-2021-44228”

13.12.2021 – Ende letzter Woche wurde eine Zero-Day-Lücke in der weit verbreiteten Java-Bibliothek «Log4j» bekannt. Die Sicherheitslücke wird als kritisch eingestuft, da die Bibliothek in sehr vielen Java-Anwendungen eingebaut ist. Zudem erlaubt die Sicherheitslücke einem Angreifer, aus der Ferne beliebigen Code auszuführen («Remote Code Execution» – RCE). Die Sicherheitslücke wird bereits aktiv von Cyberkriminellen ausgenutzt, um verwundbare Systeme mit Schadsoftware zu infizieren. Das NCSC empfiehlt, die Sicherheits-Patches so rasch wie möglich einzuspielen.

Letzten Freitag erhielt das NCSC Meldungen über eine kritische Sicherheitslücke in der beliebten Java-Bibliothek «Log4j». Die Bibliothek ist weit verbreitet und wird in vielen kommerziellen und Open-Source-Softwareprodukten verwendet.Die Sicherheitslücke (CVE-2021-44228 1) ist kritisch, da sie von einem nicht authentifizierten Angreifer aus der Ferne ausgenutzt werden kann, um beliebigen Schadcode auszuführen. Die Kritikalität der Sicherheitslücke wird im «Common Vulnerability Scoring System» (CVSS) mit 10 (von 10) bewertet, was den Schweregrad der Sicherheitslücke angibt.

Sicherheits-Patches rasch einspielen

Da viele Drittanbieter in ihren Produkten «Log4j» verwenden, arbeiten sie intensiv an der Veröffentlichung von Patches für ihre Produkte. In den vergangenen 48 Stunden haben viele Hersteller Sicherheits-Patches für ihre Produkte publiziert. Das NCSC bittet Organisationen und nationale kritische Infrastrukturen dringend, ihre Software-Landschaft auf die Verwendung von «Log4j» zu überprüfen und die entsprechenden Patches so schnell wie möglich einzuspielen. Sollte das Einspielen von Patches nicht möglich sein, empfehlen wir, alle möglichen Abhilfemaßnahmen zu ergreifen, um weiteren Schaden zu vermeiden.

Auch Privatpersonen betroffen

Doch nicht nur Unternehmen sind gefährdet. Die Bibliothek «Log4j» steckt auch in vielen Netzwerk- und Systemkomponenten, die im Privatbereich genutzt werden. Deshalb gilt es für Privatpersonen, ihre Systeme (Computer, Tablets, Smartphones, WLAN-Router, Drucker usw.) stets auf aktuellem Stand zu halten, respektive für ein regelmässiges Update zu sorgen. So werden die laufend zur Verfügung gestellten Sicherheits-Patches der Hersteller rasch möglichst eingespielt.

Warnungen an potenziell betroffene Organisationen

Das NCSC ist aktuell in ständigem Kontakt mit nationalen und internationalen Partnern zu diesem Thema. Am Samstag hat das NCSC begonnen, potenziell betroffene Organisationen in der Schweiz über verwundbare «Log4j»-Instanzen zu informieren, die über das Internet erreichbar sind. Solche Benachrichtigungen wurden auch an mehrere nationale kritische Infrastrukturen gesendet.

Obwohl die Schwachstelle für gezielte Angriffe auf nationale kritische Infrastrukturen genutzt werden könnte, hat das NCSC bisher keine diesbezüglichen Meldungen erhalten. Die von uns bisher beobachteten Ausnutzungsversuche wurden zur Verbreitung von Massen-Malware wie «Mirai2», «Kinsing3» und «Tsunami3» (auch bekannt als Muhstik) genutzt. Diese Botnetze werden in erster Linie für DDoS-Angriffe (Mirai, Tsunami) oder zum Mining von Kryptowährungen (Kinsing) eingesetzt.

Empfehlungen und hilfreiche Informationen

Für Systemadministratoren hat das NCSC auf dem Blog des GovCERTs Empfehlungen zum Vorgehen sowie die Liste der Indikatoren einer möglichen Kompromittierung (indicators of compromise IOCs) zur Verfügung gestellt:

Blog GovCERT: Zero-Day Exploit Targeting Popular Java Library Log4j (verfügbar in Englisch)

Weitere Informationen bei NCSC.