BSI warnt vor Log4j: Kritische Sicherheitslücke unter Server-Software
[ad_1]
Die Bibliothek Log4j jener Java-Software ist von einer massiven Sicherheitslücke betroffen. Laut Sicherheitsexperten könnte es sich um die kritischste Schwachstelle aller Zeiten handeln.
Nachher drastischen Warnungen vor Einer Schwachstelle in Einer vielgenutzten Server-Software ist dies Größe jener Gefahr weiterhin unklar. Die deutsche IT-Sicherheitsbehörde BSI sah zunächst keine unmittelbaren Nachgehen z. Hd. Verbraucher. “Handys und iPads sind davon bisher nicht betroffen, dies muss man ganz lukulent sagen”, sagte jener BSI-Staatschef Arne Schönbohm am Montag in Bonn. Betroffen seien z. Hd. Behörden und Unternehmen und “am Finale jener Verbraucher, jener sie Dienstleistungen nutzt”.
Sicherheitslücke in Java-Bibliothek
Am Wochenende hatte dies BSI wegen einer Sicherheitslücke in einer viel benutzten Bibliothek jener Java-Software die Warnstufe Rot ausgerufen. Die Sicherheitslücke kann hierfür sorgen, dass. Angreifer unter Umständen Schadprogramme hinaus Servern von Dienstanbietern laufen lassen can. Die Schwachstelle ist hinaus manche ältere Versionen jener Bibliothek mit dem Namen Log4j borniert. Schönbohm untermauerte am Montag die Vorrang zum Handeln. Unternehmen und Behörden sollten so schnell wie möglich Updates realisieren.
Basta Bundesbehörden oder Unternehmen, die zur kritischen Unterbau zählen, gebe es bisher keine Hinweise hinaus erfolgreiche Angriffe, sagte ein Sprecher des Bundesinnenministeriums. Die Fälle in jener Bundesverwaltung, wo sie Schwachstelle vorliege, bewegten sich “im einstelligen Einflussbereich”. Wiewohl in diesen Einzelfällen habe es keine erfolgreichen Angriffe gegeben.
Massenhafte Scans von Kriminellen
Kriminelle seien sehr rege, sagte Schönbohm. “Wir sehen jetzt schon verschmelzen massenhaften Scan.” Es findet ein Wettrennen zwischen Angreifern und Verteidigern statt. “Es sind nicht die gezielten Angriffe, sondern es geht drum, flächendeckend dort hineinzukommen und dies auszunutzen, damit man dann innen ist und andere Hintertüren installieren kann, vor sie Lücke geschlossen ist.”
Ebendiese Hintertüren könnten sterben Kriminellen dann noch heftige Menstruationsblutung ausnutzen. Neben den Updates empfahl er den Unternehmen und Behörden, bestimmte Funktionalitäten zu unterbinden, “wodurch die Angriffsmöglichkeit spürbar kleiner ist”.
Zahl jener betroffenen Firmen noch unklar
Hinaus die Frage, wie viele Firmen denn betroffen seien: “Dies kann man noch nicht sagen, wir sind in einer Winkel jener Vorbereitung.” Seine Behörde steht im Kontakt mit IT-Sicherheitsbehörden anderer Staaten, etwa von den Niederlanden, Grande Nation und ebenso jener USA. Ob kahle Entwarnung gegeben werden können, hänge davon ab, wie schnell Unternehmen sterben Schwachstelle schließen.
Kritischste Schwachstelle aller Zeiten?
Nachher Erkenntnissen jener IT-Sicherheitsfirma Fluor-Secure gelang es Angreifern schon zum Teil, Erpressungs-Trojanisches Pferd-Software zum Erstellen von Kryptowährungen hinaus den Servern zu installieren. „Log4j könnte die kritischste Schwachstelle aller Zeiten sein. Insbesondere, da dies Problem herstellerübergreifend besteht“, sagte Fluor-Secure-Kapazität Rüdiger Trost.
Log4j ist eine sogenannte Logging-Bibliothek. SIE ist hierfür da, verschiedenartige Ereignisse im Server-Werkstatt wie in einem Logbuch festzuhalten – zum Exempel z. Hd. eine spätere Berechnung von Fehlern. Die Schwachstelle kann schon einzig indem aktiviert Werden, dass in dem Log eine bestimmte Zeichenfolge auftaucht, zum Exempel durch eine Nachricht. Damit ist sie vielmehr wie geschmiert auszunutzen, welches Experten in große Sorge versetzte. Zusammen Nach sich ziehen sterben Systeme großer Lieferant meist mehrschichtige Schutzmechanismen.