17.12.2021 - Eine neue Vorgehensweise zur Ausnutzung der Sicherheitslücke «Log4j» erlaubt den Angreifern, aus der Ferne beliebigen Code auszuführen («Remote Code Execution» - RCE). Die Sicherheitslücke wird bereits aktiv von Cyberkriminellen ausgenutzt. Das NCSC empfiehlt dringend die Sicherheits-Patches so rasch wie möglich einzuspielen.
Update vom 17. Dezember 2021
Nachdem am 14. Dezember 2021 eine weitere kritische Sicherheitslücke (CVE-2021-45046) bei der Java-Bibliothek «Log4j» gemeldet wurde, haben Cyberkriminelle eine neue Vorgehensweise zur Ausnutzung dieser Schwachstelle entdeckt. Die Sicherheitslücke wird als kritisch eingestuft, da aus der Ferne ein beliebiger Code ausgeführt werden kann («Remote Code Execution» - RCE). Der seit dieser Woche zur Verfügung stehende Patch 2.16.0 verunmöglicht die neue Vorgehensweise. Daher empfiehlt das NCSC dringend, wo noch nicht vorgenommen, die Sicherheits-Patches so rasch wie möglich einzuspielen und alle Systeme stets aktuell zu halten.
Die Schwachstelle wird bereits für gezielte Angriff ausgenutzt. Das NCSC hat bisher noch keine Meldungen von Betroffenen erhalten.
Handlungsempfehlungen für Systemadministratoren
Für Systemadministratoren ergänzt das NCSC auf dem Blog des GovCERTs regelmässig seine Empfehlungen zum Vorgehen sowie die Liste der Indikatoren einer möglichen Kompromittierung (indicators of compromise IOCs).
Ein Update der Meldung der Apache Foundation findet sich auf deren Webseite:
Handlungsempfehlungen für Privatpersonen
Halten Sie Ihre Systeme (Computer, Tablets, Smartphones, WLAN-Router, Drucker usw.) stets auf aktuellem Stand respektive sorgen Sie für ein regelmässiges Update aller installierten Systemkomponenten.
Meldung vom 13. Dezember 2021
Letzten Freitag erhielt das NCSC Meldungen über eine kritische Sicherheitslücke in der beliebten Java-Bibliothek «Log4j». Die Bibliothek ist weit verbreitet und wird in vielen kommerziellen und Open-Source-Softwareprodukten verwendet.
Die Sicherheitslücke (CVE-2021-44228 1) ist kritisch, da sie von einem nicht authentifizierten Angreifer aus der Ferne ausgenutzt werden kann, um beliebigen Schadcode auszuführen. Die Kritikalität der Sicherheitslücke wird im «Common Vulnerability Scoring System» (CVSS) mit 10 (von 10) bewertet, was den Schweregrad der Sicherheitslücke angibt.
Sicherheits-Patches rasch einspielen
Da viele Drittanbieter in ihren Produkten «Log4j» verwenden, arbeiten sie intensiv an der Veröffentlichung von Patches für ihre Produkte. In den vergangenen 48 Stunden haben viele Hersteller Sicherheits-Patches für ihre Produkte publiziert. Das NCSC bittet Organisationen und Betreiber nationaler kritischer Infrastrukturen dringend, ihre Software-Landschaft auf die Verwendung von «Log4j» zu überprüfen und die entsprechenden Patches so schnell wie möglich einzuspielen. Sollte das Einspielen von Patches nicht möglich sein, empfehlen wir, alle möglichen Abhilfemaßnahmen zu ergreifen, um weiteren Schaden zu vermeiden.
Auch Privatpersonen betroffen
Doch nicht nur Unternehmen sind gefährdet. Die Bibliothek «Log4j» steckt auch in vielen Netzwerk- und Systemkomponenten, die im Privatbereich genutzt werden. Deshalb gilt es für Privatpersonen, ihre Systeme (Computer, Tablets, Smartphones, WLAN-Router, Drucker usw.) stets auf aktuellem Stand zu halten, respektive für ein regelmässiges Update zu sorgen. So werden die laufend zur Verfügung gestellten Sicherheits-Patches der Hersteller rasch möglichst eingespielt.
Warnungen an potenziell betroffene Organisationen
Das NCSC ist aktuell in ständigem Kontakt mit nationalen und internationalen Partnern zu diesem Thema. Am Samstag hat das NCSC begonnen, potenziell betroffene Organisationen in der Schweiz über verwundbare «Log4j»-Instanzen zu informieren, die über das Internet erreichbar sind. Solche Benachrichtigungen wurden auch an mehrere nationale kritische Infrastrukturen gesendet.
Obwohl die Schwachstelle für gezielte Angriffe auf nationale kritische Infrastrukturen genutzt werden könnte, hat das NCSC bisher keine diesbezüglichen Meldungen erhalten. Die von uns bisher beobachteten Ausnutzungsversuche wurden zur Verbreitung von Massen-Malware wie «Mirai», «Kinsing» und «Tsunami» (auch bekannt als Muhstik) genutzt. Diese Botnetze werden in erster Linie für DDoS-Angriffe (Mirai, Tsunami) oder zum Mining von Kryptowährungen (Kinsing) eingesetzt.
Empfehlungen und hilfreiche Informationen
Für Systemadministratoren hat das NCSC auf dem Blog des GovCERTs Empfehlungen zum Vorgehen sowie die Liste der Indikatoren einer möglichen Kompromittierung (indicators of compromise IOCs) zur Verfügung gestellt:
Letzte Änderung 17.12.2021