Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps

Apple, Twitter, Amazon und tausende andere Dienste sind anfällig; erste Angriffe laufen bereits. Admins sollten unbedingt jetzt handeln.

Über eine kritische Zero-Day-Sicherheitslücke namens Log4Shell (CVE-2021-44228) in der weitverbreiteten Java-Logging-Bibliothek Log4j können Angreifer beliebigen Code ausführen lassen. Betroffen sind etwa Dienste von Apple, Twitter, Steam, Amazon und vermutlich sehr viele kleinere Angebote. Es gibt Proof-of-Concept-Code, der das Ausnutzen der Lücke demonstriert und auch bereits erste Angriffe. Seit Kurzem steht ein Quellcode-Update des Apache-Projekts bereit; Admins sollten dringend aktiv werden.

Im Github Projekt Log4jAttackSurface findet man eine Liste von Herstellern deren Programme betroffen sind mit Screenshots als Beleg. Darunter sind viele namhafte wie Amazon, Apple iCloud, Cloudflare, Steam oder Twitter.

Diverse Sicherheitsforscher berichten über Scans, die nach verwundbaren Diensten suchen und unter anderem das CERT der Deutschen Telekom beobachtet auch bereits erste Angriffe.

Quelle: heise online