US-Behörde warnt: Log4Shell wird uns noch Jahre beschäftigen

15. Juli 2022, 14:31
  • security
  • lücke
  • international
image
Foto: Arthur Mazi / Unsplash

Die Sicherheitslücke in der Java-Library Log4J sei "endemisch", hält ein Bericht fest. Die Schwachstelle könne noch ein Jahrzehnt oder länger in Systemen verbleiben.

Zuletzt warnte die US-Security-Behörde CISA, dass die im Dezember 2021 entdeckte Sicherheitslücke Log4Shell in der Java-Library Log4J Angreifern auch weiterhin als Einfallstor in Netzwerke von Unternehmen und Organisationen dient. Jetzt doppelt ein weiterer Bericht des US Department of Homeland Security (DHS) nach.
Verfasst hat ihn das beim DHS angesiedelte Cyber ​​Safety Review Board (CSRB), welches im Februar ausgehend von der Cybersecurity-Order durch US-Präsident Joe Biden neu gegründet wurde. Das CSRB bezeichnet Log4Shell als "eine der schwerwiegendsten Schwachstellen, die in den letzten Jahren entdeckt wurden". Von der Lücke gehe ein "endemisches Sicherheitsrisiko" aus, Systeme würden bis "mindestens 2032" davon betroffen sein.
Zwar sei auf das Bekanntwerden von Log4Shell "eine der intensivsten Reaktionen der Cybersicherheitsgemeinschaft in der Geschichte" erfolgt. Der öffentliche und private Sektor, die Open-Source-Community und Security-Forscher hätten weltweit zusammengearbeitet. Doch die Verteidiger würden einer besonders herausfordernden Situation gegenüberstehen: Die Schwachstelle betreffe praktisch jede vernetzte Organisation.
Als Beispiel wird eine US-Behörde aufgeführt, die 33'000 Arbeitsstunden damit verbracht habe, Log4J-Lücken im Netzwerk zu finden und zu patchen. Ein solcher massiver Aufwand führe zu einem Arbeitsstau beim Patchen von anderen kritischen Schwachstellen.
Doch trotz des düsteren Zukunftsbilds bezüglich Log4J und den wiederkehrenden Warnungen kommt das CSRB "etwas überrascht" zum Schluss, dass "die Ausnutzung von Log4Shell bisher im Allgemeinen auf einem niedrigeren Niveau stattfand, als viele Experten angesichts der Schwere der Schwachstelle vorhergesagt hatten".
Trotzdem sei es wichtig, die Lücke weiterhin genau im Auge zu behalten. Die Security-Forscher listen dazu in ihrem Bericht (PDF) 19 Empfehlungen für Behörden, Organisationen und Unternehmen zur Verbesserung ihrer Cybersicherheit auf. Dazu gehören unter anderem Investitionen in Open-Source-Softwaresicherheit, bessere Fähigkeiten zur Identifizierung anfälliger Systeme und die Festlegung einer Grundanforderung für Softwaretransparenz.

Loading

Mehr zum Thema

image

Schweiz: Wettbewerbsfähigkeit top, E-Government flop

In der aktuellen IMD-Studie steigt die Schweiz in Sachen digitale Wettbewerbsfähigkeit in die Top 5 auf. Dahingegen schwächelt sie im Bereich E-Government.

publiziert am 29.9.2022
image

Googles Suchfunktion erhält neue Features

Die visuelle Suche wurde verbessert und es gibt neu einen Suchoperator, mit dem sich Ergebnisse aus der unmittelbaren Umgebung anzeigen lassen.

publiziert am 29.9.2022
image

Der CTO von Microsoft Azure will künftig auf Rust setzen

Weil die Programmiersprache sicherer und zuverlässiger als C und C++ ist, soll sie in Zukunft vermehrt zum Einsatz kommen. Der C++-Erfinder hingegen sieht die Ablösung als "gewaltige Aufgabe".

publiziert am 28.9.2022
image

Geotech: Huaweis "eiserne Armee" in der Defensive

Huawei-CEO Ren Zhengfei spricht von einem Überlebenskampf, während der internationale Druck zunimmt. Wir haben bei Huawei Schweiz nach Transparenzbemühungen und Geschäftsgang gefragt.

publiziert am 27.9.2022 2