US-Behörde veröffentlicht Scanner für die Log4Shell-Lücke
24. Dezember 2021 um 11:29
Der Scanner der CISA soll Unternehmen helfen, von der schweren Sicherheitslücke betroffene Webdienste zu identifizieren.
Die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat einen Scanner zur Identifizierung von Webdiensten veröffentlicht, die von den Apache Log4j-Schwachstellen betroffen sind. Die beiden Schwachstellen "CVE-2021-44228" (Log4Shell) und "CVE-2021-45046" können von Angreifern für Remote Code Execution (RCE) genutzt werden.
Der auf Github veröffentlichte Scanner ist eine Open-Source-Lösung. Der "Log4j Scanner" beruhe auf einer Entwicklung der Sicherheitsfirma Fullhunt und sei durch die CISA und die Open-Source-Community modifiziert und verbessert worden.
Der Scanner soll Systemadministratoren helfen, nach der Schwachstelle zu suchen. Da Log4j an mehreren Stellen vorhanden und auch in andere Anwendungen oder Komponenten von Drittanbietern eingebettet sein kann, ist die Suche nach der Lücke für Administratoren nicht ganz einfach.
Die Sicherheitslücke in der allgegenwärtigen Java-Bibliothek wird als "sehr kritisch" eingestuft und bereits von Cyberkriminellen für Angriffe ausgenutzt. Die CISA hat auch eine eigene Website "Apache Log4j Vulnerability Guidance" dazu aufgeschaltet.
Loading
Risikostufe "orange": Die Rhätische Bahn will einen CISO mieten
Die RhB möchte die Sicherheitsstrategie weiterentwickeln. Nun sucht das Unternehmen einen CISO "As-a-Service", der helfen soll, IT-Systeme, aber auch Fahrzeugsteuerung zu schützen.
Aargau informiert über das Ausmass des Xplain-Hacks
Bei dem Cyberangriff wurden heikle Daten entwendet. Der Kanton will zukünftig die Sicherheit bei externen Lieferanten besser beachten.
EU einigt sich auf Cyberschutz für IoT-Geräte
Ein besserer Schutz von vernetzten Geräten ist dringlich. Nun wurde der Cyber Resilience Act definiert. Für Kritik sorgen die Übergangsfristen für Hersteller.
Wie künstliche und menschliche Intelligenz bei Cybersicherheit zusammenspielen
Zum Start des GoHack23, einem dreitägigen Anlass von Gobugfree und der Fernfachhochschule Schweiz, diskutierten Referenten aus Politik, Wissenschaft und Wirtschaft die Zukunft der Schweizer Cybersicherheit.