Am 9. Dezember machten Sicherheitsforscher und verschiedene Websites auf eine Zero-Day-Lücke in der Java-Logging-Bibliothek Log4j aufmerksam. Anfällig sind Apache Log4j-Versionen zwischen Version 2.0 und 2.14.1. Dazu gehören viele in Java geschriebene Anwendungen und Dienste.
Die mittlerweile mit der Nummer
"CVE-2021-44228" versehene Schwachstelle könne zu Remote Code Execution (RCE) durch Angreifer auf betroffenen Servern und Clients führen. Die Neuseeländische Cybersecurity-Behörde
CertNZ schreibt: "Berichte von Online-Benutzern zeigen, dass diese in freier Wildbahn aktiv ausgenutzt wird und dass ein Proof-of-Concept-Code veröffentlicht wurde." Das CERT der Deutschen Telekom beobachtet auch bereits erste Angriffe, wie es
auf Twitter meldete.
Laut
'Arstechnica' wurde die Schwachstelle erstmals auf Websites bekannt, die sich an Benutzer von Minecraft, dem meistverkauften Spiel aller Zeiten, richten. Die Websites warnten davor, dass Hacker bösartigen Code ausführen könnten, auf denen die Java-Version von Minecraft ausgeführt wird, indem sie Protokollnachrichten manipulieren, einschliesslich Nachrichten, die in Chats eingegeben werden.
In einem Bericht von Sicherheitsforschern von Lunasec heisst es: "Angesichts der Allgegenwart dieser Bibliothek, der Auswirkungen des Exploits (volle Serverkontrolle) und der einfachen Ausnutzung sind die Auswirkungen dieser Sicherheitsanfälligkeit ziemlich schwerwiegend."
"Viele, viele Dienste sind anfällig für diesen Exploit", schreibt Lunasec. Dazu würden auch Cloud-Dienste wie Steam oder Apple iCloud gehören. "Jeder, der Apache Struts verwendet, ist wahrscheinlich anfällig." Bei Minecraft sollen die Versionen 1.8.8 bis zur neuesten Version 1.18 alle anfällig seien, ebenso wie andere beliebte Gameserver wie Wynncraft.
Lunasec hat
in einem Blogpost weitere Details zur Schwachstelle veröffentlicht. Anwender werden dringend aufgefordert, die
neuste Version von Log4j zu verwenden.
Update 15.40 Uhr: Der Artikel wurde um die Meldung der Deutschen Telekom ergänzt.