Eine Log4J-Sicherheitslücke hat dies WWW „in Braunfäule gesetzt“

Eine Schwachstelle in Eine weit verbreitete Protokollierungsbibliothek hat sich zu einem ausgewachsenen Sicherheitszusammenbruch entwickelt, jener digitale Systeme im gesamten WWW beeinträchtigt. Hacker versuchen schon, ihn auszunutzen, daher selbst denn Fixes vorkommen, warnen Forscher, dass jener Fehler weltweit schwerwiegende Auswirkungen nach sich ziehen könnte.

Dies Problem liegt in Log4j, einem allgegenwärtigen Open-Source-Apache-Logging-Framework, mit dem Entwickler die Aktivitäten intrinsisch einer Inanspruchnahme speichern. Security-Responder bemühen sich, den Fehler zu beheben, jener leichtgewichtig ausgenutzt werden kann, um die Leistungsnachweis extra anfällige Systeme aus jener Ferne zu übernehmen. Taktgesteuert scannen Hacker unter Strom stehend dies WWW nachher betroffenen Systemen. Manche nach sich ziehen schon Tools entwickelt, die selbsttätig versuchen, den Fehler auszunutzen, sowie Würmer, die sich unter den richtigen Bedingungen unabhängig von einem anfälligen System gen ein anderes ausbreiten können.

Log4j ist eine Java-Bibliothek, und obwohl die Programmiersprache heutzutage zwischen Verbrauchern weniger beliebt ist, wird sie in Unternehmenssystemen und Webanwendungen immer noch sehr mehrfach verwendet. Forscher teilten WIRED am Freitag mit, dass sie erwarten, dass viele Mainstream-Dienste betroffen sein werden.

Zum Paradebeispiel im Eigentum von Microsoft Minecraft veröffentlichte am Freitag detaillierte Anweisungen, wie Spieler jener Java-Version des Spiels ihre Systeme patchen sollten. „Dieser Exploit betrifft viele Dienste – einschließlich jener Minecraft Java Edition“, heißt es in dem Mitgliedsbeitrag. „Welche Sicherheitsanfälligkeit stellt ein potenzielles Risiko dar, dass Ihr Computer kompromittiert wird.“ Cloudflare-Geschäftsführer Matthew Prince getwittert Freitag, dass dies Problem „so schlimm“ sei, dass dies Internetinfrastrukturunternehmen versuchen würde, zumindest verknüpfen gewissen Sicherheit sogar zu Gunsten von Kunden gen seiner kostenlosen Servicestufe bereitzustellen.

Was auch immer, welches ein Angreifer tun muss, um den Fehler auszunutzen, ist, strategisch eine Zeichenfolge mit bösartigem Identifizierungszeichen zu senden, die schließlich von Log4j Version 2.0 oder höher protokolliert wird. Dieser Exploit ermöglicht es einem Angreifer, beliebigen Java-Identifizierungszeichen gen verknüpfen Server zu laden und so die Leistungsnachweis zu übernehmen.

„Es ist ein Konstruktionsfehler katastrophalen Ausmaßes“, sagt Free Wortley, Geschäftsführer jener Open-Source-Datensicherheitsplattform LunaSec. Forscher des Unternehmens veröffentlichten am vierter Tag der Woche eine Warnung und eine erste Einschätzung jener Sicherheitslücke Log4j.

Minecraft Screenshots, die in Foren kursieren, scheinen zu zeigen, dass Spieler die Sicherheitslücke ausnutzen Minecraft Chat-Prozedur. Am Freitag begannen manche Twitter-Benutzer, ihre Anzeigenamen in Identifizierungszeichen-Strings zu ändern, die den Exploit verursachen könnten. Ein anderer Benutzer hat seinen iPhone-Namen geändert um ebenso zu tun und dies Ergebnis an Apple weiterzuleiten. Forscher sagten WIRED, dass jener Verfahren notfalls genauso per E-Mail-Nachricht tun könnte.

Die US-amerikanische Behörde zu Gunsten von Cybersicherheit und Infrastruktursicherheit hat am Freitag eine Warnung zu jener Sicherheitslücke veröffentlicht, sowohl …. als auch dies australische CERT. Die Warnung jener neuseeländischen Cybersicherheitsorganisation hat festgestellt, dass die Sicherheitsanfälligkeit unter Strom stehend ausgenutzt wird.

“Es ist ziemlich schlimm”, sagt Wortley. „So viele Menschen sind verwundbar, und dies ist so leichtgewichtig auszunutzen. Es gibt manche mildernde Faktoren, daher in jener realen Welt wird es viele Unternehmen verschenken, die nicht gen den aktuellen Releases sind und sich drum bemühen, dies zu beheben.“

Apache stuft die Schwachstelle denn Schweregrad „ungelegen“ ein und veröffentlichte am Freitag Patches und Abschwächungen. Die Organisation sagt, dass Chen Zhaojun vom Alibaba Cloud Security Team die Sicherheitslücke zuerst aufgedeckt hat.