Steht das Internet in Flammen?
Am 12.12.2021 hat das BSI die Meldung der Hauptüberschrift herausgegeben und das Risiko als extrem hoch eingestuft. Eine weitverbreitete Loggingsoftware unter Java weist seit Jahren eine schwere Sicherheitslücke auf, die nun für Milliarden von Devices, IOT-Geräten, Servern und PCs kritisch werden könnte. Das Betriebssystem sei dabei weniger wichtig.
Nicht betroffen seien Android- und Apple-Smartphones, der Webserver Apache, aktuelle PCs nur, wenn darauf Java in einer nicht aktuellen Version installiert ist. Das klingt erstmal nicht so schlimm. Auch wenn Java-Anwendungen wegen Sicherheitsbedenken seit langem kaum noch für Enduser genutzt werden, so sind sie im professionellen Bereich leider noch immer üblich.
Gerade Finanzanwendungen sind nach aktuellen Meldungen betroffen, laut Heise auch Dienste von Apple, Amazon, Twitter, Cloudflare, Steam, Minecraft und tausende andere. Dabei wird beispielsweise eine Zeichenkette über ein (beliebiges) Eingabefeld in der o. a. Form übermittelt und auf dem Zielsystem ausgeführt. Hierdurch entsteht letztlich eine autorisierte Shell auf dem kompromittierten System, das somit fernsteuerbar wird. Das ist schon krass, was die Gefährlichkeit anbetrifft. Trojaner, Datenabgriffe und mehr sind so möglich. Man hat schon etliche betroffene Systeme gefunden. Aktuelle Antivirus-Programme erkennen den Versuch der Installation über Log4j. Es wird vermutet, dass Ransomware-Angriffe nachfolgen.
Auf meinem Laptop konnte ich log4j.jar mit einem Datum von 2020 finden, und zwar in der Java-Software Visus, die als Anzeigesoftware auf Röntgenbild-CDs eingesetzt wird. Die genaue Versionsnummer von log4j.jar wird aber nicht einfach angezeigt. Ich habe die Datei mal umbenannt. Sie steckt aber zusätzlich noch in einer gezipten JRE-Bibliothek. Das Apache-Projekt hat bereits neue korrigierte Versionen veröffentlicht. Ich wüsste aber nicht, wie man die einspielt. Auf Linux MInt 20.04 war die entsprechende Java-Bibliothek nicht zu finden.
Es erinnert mich etwas an die Coronavirus/Omicron-Variante-Geschichte. Computerviren kennen wir schon sehr lange. Insofern ist die große Aufregung nun etwas ungewöhnlich. Es muss an der nicht wirklich kalkulierbaren Gefahr liegen, die Ängste weckt. Die Zahl der Systeme, die bisher „Angriffe“ registriert haben, ist dennoch schon ungewöhnlich hoch. Andererseits hat das Internet immer ein hohes Grundrauschen mit verdächtigen Zugriffen. In einigen Tagen oder Wochen wissen wir mehr.
