Sonntagsfrage: Eine Woche Log4Shell, was hat das für dich bedeutet?
Seit einer Woche gefährdet die gravierende Sicherheitslücke CVE-2021-44228 alias „Log4Shell“ im Logging-Framework log4j für Java die IT-Systeme in aller Welt unter anderem mit Remote Code Executions und Ransomware. In der heutigen Ausgabe der „Sonntagsfrage“ möchte die Redaktion von euch wissen, ob ihr auch betroffen seid.
Warst du von der Zero-Day-Lücke betroffen?
Am 10. Dezember gelangte die Zero-Day-Lücke CVE-2021-44228 in log4j Version 2.0 unter dem Namen „Log4Shell“ weltweite zu Berühmtheit, in dem sie potentiellen Angreifern die Ausführung eines beliebigen Schadcodes mittels Remote Code Execution und damit beispielsweise auch das Stehlen der Rechenleistung korrumpierter Systeme für illegales Mining oder Bot-Netze ermöglicht.
Laut F-Secure gab es auch Angriffe mit Ransomware, von denen Dienste wie Amazon Web Services, Steam und iCloud betroffen waren. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem seiner Lageberichte (PDF) mitgeteilt hat, besagen mehrere CERT-Quellen, dass bereits weltweit massenweise versuchte Kompromittierungen im Zuge der Zero-Day-Lücke stattgefunden haben.
Auf GitHub existiert eine Liste betroffener Anwendungen, die inzwischen über 100 Einträge zählt. Ob ein System betroffen ist, lässt sich beispielsweise über ein auf GitHub veröffentlichtes Python-Script für Rechner mit HTTP-Server testen.
Auf den ComputerBase-Servern kommen Java und log4j ausschließlich für das Such-Backend Elasticsearch zum Einsatz, welches sowohl das CMS als auch die Forumsoftware XenForo nutzen. Die empfohlenen Maßnahmen gegen die Sicherheitslücke haben wir am frühen Samstagmorgen umgesetzt.
Es gibt keine Anzeichen dafür, dass die Sicherheitslücke auf ComputerBase ausgenutzt wurde. Wie es scheint, ist unser Setup ohnehin nicht verwundbar, weil Nutzer und somit auch ein potenzieller Angreifer auf Elasticsearch nicht direkt zugreifen können, sondern dies nur indirekt über das CMS oder XenForo geschieht (Ankündigung von XenForo).
ComputerBase
Die Zero-Day-Lücke ist omnipräsent und leicht zugänglich, aber in wie fern waren die ComputerBase-Leser direkt oder indirekt von „Log4Shell“ betroffen oder mussten entsprechende Maßnahmen ergreifen, um der Bedrohung vorzubeugen? Welche Vorkehrungen wurden gegebenenfalls in eurem Unternehmen getroffen?
-
Ja, ich war (oder bin) direkt von der Zero-Day-Lücke betroffen
-
Ja, ich war (oder bin) indirekt von der Zero-Day-Lücke betroffen
-
Nein, ich war bislang nicht von der Zero-Day-Lücke betroffen
Die Redaktion freut sich über jede abgegebene Stimme sowie zahlreiche fundierte Details und Erfahrungsberichte in den Kommentaren zu dieser Meldung und wünscht euch einen erholsamen Sonntag.