Zero-Day-Lücke in Java-Bibliothek Log4j wird aktiv ausgenutzt

10. Dezember 2021 um 10:41
  • security
  • lücke
  • open source
  • java
  • apache
image

Laut Sicherheitsforschern seien Cloud-Dienste wie Steam und Apple iCloud anfällig auf den Exploit. Bereits als angreifbar habe sich das beliebte Spiel Minecraft erwiesen.

Am 9. Dezember machten Sicherheitsforscher und verschiedene Websites auf eine Zero-Day-Lücke in der Java-Logging-Bibliothek Log4j aufmerksam. Anfällig sind Apache Log4j-Versionen zwischen Version 2.0 und 2.14.1. Dazu gehören viele in Java geschriebene Anwendungen und Dienste.
Die mittlerweile mit der Nummer "CVE-2021-44228" versehene Schwachstelle könne zu Remote Code Execution (RCE) durch Angreifer auf betroffenen Servern und Clients führen. Die Neuseeländische Cybersecurity-Behörde CertNZ schreibt: "Berichte von Online-Benutzern zeigen, dass diese in freier Wildbahn aktiv ausgenutzt wird und dass ein Proof-of-Concept-Code veröffentlicht wurde." Das CERT der Deutschen Telekom beobachtet auch bereits erste Angriffe, wie es auf Twitter meldete.
Laut 'Arstechnica' wurde die Schwachstelle erstmals auf Websites bekannt, die sich an Benutzer von Minecraft, dem meistverkauften Spiel aller Zeiten, richten. Die Websites warnten davor, dass Hacker bösartigen Code ausführen könnten, auf denen die Java-Version von Minecraft ausgeführt wird, indem sie Protokollnachrichten manipulieren, einschliesslich Nachrichten, die in Chats eingegeben werden.
In einem Bericht von Sicherheitsforschern von Lunasec heisst es: "Angesichts der Allgegenwart dieser Bibliothek, der Auswirkungen des Exploits (volle Serverkontrolle) und der einfachen Ausnutzung sind die Auswirkungen dieser Sicherheitsanfälligkeit ziemlich schwerwiegend."
"Viele, viele Dienste sind anfällig für diesen Exploit", schreibt Lunasec. Dazu würden auch Cloud-Dienste wie Steam oder Apple iCloud gehören. "Jeder, der Apache Struts verwendet, ist wahrscheinlich anfällig." Bei Minecraft sollen die Versionen 1.8.8 bis zur neuesten Version 1.18 alle anfällig seien, ebenso wie andere beliebte Gameserver wie Wynncraft.
Lunasec hat in einem Blogpost weitere Details zur Schwachstelle veröffentlicht. Anwender werden dringend aufgefordert, die neuste Version von Log4j zu verwenden.
Update 15.40 Uhr: Der Artikel wurde um die Meldung der Deutschen Telekom ergänzt.

Loading

Mehr zum Thema

image

Women in Cyber und SANS Institute wollen "Women in Cyber Talent Academy" gründen

Damit das Trainingsinstitut für Security-Quereinsteigerinnen im Herbst loslegen kann, müssen aber noch finanzielle Partner einsteigen.

publiziert am 5.2.2025
image

Report: Deepseek ist anfällig für Manipulationen

Eine Untersuchung von Cisco zeigt, dass beim Modell "Deepseek R1" die Leitplanken einfach umgangen werden können. Das ist aber auch bei anderen der Fall.

publiziert am 5.2.2025
image

Daten von Swissmem-Ausgleichskasse gestohlen

Die Ausgleichskasse des Verbandes der Schweizer Maschinen-, Elektro- und Metallindustrie wurde gehackt. Die Angreifer haben Server und Daten verschlüsselt.

publiziert am 4.2.2025
image

Kanton Zürich sucht Security-Expertise

Ein Expertenpool soll das Amt für Informatik bei der Umsetzung der Informations­sicherheitsrichtlinien unterstützen. Es geht um bis zu 7000 Arbeitstage.

publiziert am 4.2.2025