Updates zur Log4j-Sicherheitslücke
Wie bereits gemeldet ist eine Zero Day Lücke in der Java-Bibliothek Log4j, die von einem Großteil der Java-Anwendungen eingesetzt wird, erkannt worden. Die Schwachstelle hat womöglich Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, welche mit Hilfe von Log4j diverse Teile der Nutzeranfragen protokollieren. Da ein entsprechender Proof-of-Concept bereits öffentlich verfügbar ist, ist die Schwachstelle für Cyber-Kriminelle trivial ausnutzbar und ermöglicht es ihnen, auf den Zielsystemen eigenen Programmcode auszuführen und so auch die zugehörigen Server zu kompromittieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Warnstufe Rot für diese Sicherheitslücke ausgerufen.
Die zentralen Dienste des ITMCs der TU Dortmund wurden auf die Log4j-Sicherheitslücke hin überprüft. Nach aktuellem Stand sind in Summe nur wenige der ITMC-Dienste von der Sicherheitslücke betroffen und diese konnten mittlerweile erfolgreich abgesichert werden. Zudem wird derzeitig ebenso an der Absicherung der Server-Dienste der dezentralen IT akut gearbeitet.
Den Herstellerinformationen von CISCO zufolge ist nicht auszuschließen, dass der von der TU Dortmund flächendeckend genutzte Dienst CISCO Webex von der Sicherheitslücke betroffen ist. So ist es möglich, dass die Online-Konferenzen über CISCO Webex von Unbefugten kompromittiert, also zum Beispiel mitgehört oder auch aufgezeichnet, werden können. Daher wird allen TU-Mitgliedern insbesondere empfohlen, den Dienst CISCO Webex vorerst nicht zu nutzen und stattdessen auf verfügbare Alternativ-Programme wie Zoom auszuweichen, bis eine Entwarnung vom Anbieter CISCO selbst ausgegeben wird.
Darüber hinaus betrifft die Sicherheitslücke neben den Server-Anwendungen auch Java-basierte Client-Software auf dem Rechner. Hier ist eine Kompromittierung allerdings einzig möglich, wenn aus dem Internet heruntergeladene oder per E-Mail von nicht vertrauenswürdigen Quellen empfangene Dateien geöffnet werden. Folglich wird dringend empfohlen, in den kommenden Tagen höchst sensibel mit derartigen externen Dateien umzugehen, welche ab der letzten Woche eingegangen sind. Außerdem sollte momentan regelmäßig auf mögliche Software-Updates hin geprüft und diese auch umgehend installiert werden.
Weiterführend betrifft diese Warnung nach gegenwärtigem Kenntnisstand auch weitere häufig verwendete Software-Pakete wie
- SPSS
- SAS
- Maple
- Mathematica
Es wird jedoch davon ausgegangen, dass hierfür mit hoher Wahrscheinlichkeit in den nächsten Tagen Updates erscheinen werden.
Darüber hinaus werden mutmaßlich auch viele weitere Java-basierte Anwendungen von der Sicherheitslücke betroffen sein. Nach derzeitigem Wissen kann mit diesen Anwendungen zwar weitergearbeitet werden, allerdings nur, sofern mit den externen Dateien entsprechend vorsichtig umgegangen wird.
Weitere Hinweise, Skripte und Verfahren zur Erkennung der Schwachstelle und auch der Angriffsversuche auf dem eigenen System sowie empfohlene Maßnahmen finden Sie in der aktualisierten Fassung der Cyber-Sicherheitswarnung des BSI (Bundesamt für Sicherheit in der Informationstechnik):
Bitte informieren Sie uns (infosictu-dortmund),
- ob Ihre Systeme betroffen sind und welche Maßnahmen Sie durchgeführt haben.
- wenn Sie in diesem Zusammenhang Unregelmäßigkeiten bemerken oder Verdacht auf eine Kompromittierung haben.