BSI warnt vor kritischer Schwachstelle in Java-Anwendungen

Aktuell ist noch nicht absehbar, welche Auswirkungen die vom BSI benannte Schwachstelle in Java-Anwendungen haben kann. Deshalb wurde die höchste Warnstufe verhängt.

Die ersten Hinweise auf die Schwachstelle in Java-Anwendungen wurden bei Github veröffentlicht. Bereits nach einer kurzen Prüfung stufte das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) die Bedrohungslage als extrem kritisch ein und setzte die Warnstufe für die Schwachstelle mit der Kennung CVE-2021-44228 auf „Rot“. Diese Warnstufe kommt dann zum Einsatz, wenn der Ausfall vieler Dienste durch eine aktive Ausnutzung der Schwachstelle droht oder zumindest der Regelbetrieb nicht vollständig aufrechterhalten werden kann.

Was ist über die Schwachstelle CVE-2021-44228 bisher bekannt?

Die kritische Schwachstelle findet sich in dem zu den Java-Anwendungen gehörenden Log4Shell und dort im Modul Log4j. Betroffen sind offenbar nicht nur Server, sondern auch andere Systeme, die Informationen mit dem Internet austauschen. Betroffen ist nach dem aktuellen Wissensstand auch die Webserver-Software der Apache Software Foundation. Sie gehört nach NGINX zu den weltweit am häufigsten genutzten Softwarelösungen für Webserver. Rund 24 Prozent aller weltweit aktiven Websites verwenden nach Angaben des Portals Statista diese Software für den Betrieb der Server. Außerdem sind nach den bisherigen Erhebungen auch VMWare und UniFi betroffen. Nach den Angaben von Github sind die Java-Anwendungen mit der Schwachstelle in den Produkten von mehr als 140 Herstellern enthalten.

Gibt es bereits Anzeichen für eine aktive Nutzung der Schwachstelle?

Das Bundesamt für Sicherheit hat bereits „breitflächige Scans“ des Internets nach Systemen mit der Schwachstelle in den Java-Anwendungen bestätigt. Die dortigen Experten gehen derzeit davon aus, dass es sich dabei um die Vorbereitungen für einen größeren Angriff auf die verwundbaren Systeme handelt. Die weltweiten Massenscans der Systeme wurden genau wie erste Versuche der Ausnutzung der Schwachstelle auch bereits von den Experten des Computer Emergency Response Teams (kurz CERT) bestätigt. In der Regel setzen die Angreifer bisher Kryptominer oder Botnetze ein. Die Sicherheitsexperten von CERT und dem BSI gehen davon aus, dass die Angriffsversuche „in den nächsten Tagen deutlich zunehmen“ werden. Aktuell empfiehlt das BSI, die Zugriffsrechte der Server auf das Internet vorübergehend einzuschränken, nicht unbedingt benötigte Systeme vom Netz zu trennen und Änderungen an den Einstellungen der betroffenen Java Virtual Machines vorzunehmen. Bei Github gibt es mittlerweile ein Tool, mit dem die (bisher bekannten) betroffenen Java-Bibliotheken gesucht werden können. Allerdings ist die Prüfung vor allem bei Linux-Systemen noch nicht komplett zuverlässig.

Quelle: BSI, Github

About Author