Die vor kurzem aufgetauchte Log4j-Lücke besitzt das Potential bei einem Angriff auf die Serverstruktur für/der Lieferketten verheerende Zerstörungen anzurichten. Auch klassische Anwendungen könnten zum Kapern der dahinter liegenden Systeme genutzt werden.
Log4j ist eine Java-Bibliothek die in vielen (Server-)Anwendungen implementiert ist. Dabei ist die Lücke so gravierend, dass eine Schadcodeausführung im betroffenen System möglich ist. Es gibt mittlerweile zwar für die eine oder andere Anwendung gepatchte Versionen, aber ein Einspielen der gepatchten Version ist teilweise nicht möglich, da sich die Bibliothek in (propritärer) Software befindet bzw. gar nicht bekannt ist, dass die Programmierer Log4j in ihre Software eingebaut haben.
Die Plattform Heise schreibt dazu:
Zunächst: Die Gefahr ist real; das Bundesamt für Sicherheit in der Informationstechnik (BSI) tat gut daran, Samstag Nacht die Warnstufe Rot auszurufen. Das Ausnutzen der Lücke ist tatsächlich denkbar einfach, die Zahl der anfälligen Systeme unüberschaubar und Sicherheitsfirmen sehen bereits Log4j-Angriffe von über 500 IP-Adressen. Die Mehrzahl davon sind aktuell noch sogenanntes Fingerprinting, bei dem man versucht, anfällige Systeme zu finden. Vieles davon dürften Forscher sein, die sich nur ein Bild der Lage machen wollen.
Auf Github gibt es eine Aufstellung betroffener Systeme/Programme, die sich wie das Who-is-Who der IT lesen (hier nur ein verkürzter Ausschnitt):
Ist es denkbar, dass die Internationalisten/Globalisten/Eliten (IGE) mit Log4j das „Werkzeug“ ihrer Wahl „freigesetzt“ haben, um ihre Übung Cyber Polygon Realität werden zu lassen? Wir wissen, dass die IGE All-In mit der Plandemie gegangen sind und dass der Widerstand weltweit täglich zunimmt. Ein „Ventil“ muss also her. Ein Ventil, das man schnell einsetzen kann. Etwaige gewünschte Kriegshandlungen zwischen der Ukraine und Russland zur Ablenkung sind in der Kürze der Zeit und des zunehmen Momentums des Widerstands aus meiner Sicht nicht realisierbar.
Bereits der Blick auf die obige Liste lässt einen erschaudern: Apache-Webserver-Komponenten, Cloudflare, Amazon, Google, VMWare oder Baidu werden ihre Systeme sicherlich zeitnah patchen können. Aber was ist mit den Millionen, wenn nicht gar Milliarden an Anwendungen und Systemen (IoT)von denen man nicht einmal weiß, ob sie die entsprechende Bibliothek nutzen?
Quellen:
Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen
Warum Log4Shell so gefährlich ist und was (nicht) hilft
Schutz vor schwerwiegender Log4j-Lücke – was jetzt hilft und was nicht
BlueTeam CheatSheet * Log4Shell*