Sicherheitslücke bei Log4j gefährdet viele Unternehmen

Am vergangenen Freitag, den 10.12.2021, wurde eine Sicherheitslücke bei Log4j, ein weltweit verwendetes Framework zum Logging in Java, veröffentlicht. Die IT-Sicherheitsbehörde (BSI) hat eine Cyber-Sicherheitswarnung der Alarmstufe Rot herausgegeben. Diese Sicherheitslücke ermöglicht es Hackern ohne großen Aufwand beliebigen Schadcode auszuführen. Was Sie jetzt dazu wissen sollten.

Was ist Log4j?

Log4j ist eine weltweit verbreitete Bibliothek für Anwendungen, die mit der Programmiersprache Java geschrieben wurden. Sie hilft Entwicklern, Fehlermeldungen in Softwareprozessen aufzuzeichnen und kommt auf Servern weltweit zum Einsatz. Log4j dient dazu, Fehlermeldungen über sogenannte Logger an das gewählte Logging System weiterzuleiten.

Warum ist die Log4j Sicherheitslücke so gefährlich?

Eine Sicherheitslücke im Programmcode, die in der Nacht von Donnerstag auf Freitag, den 10.12.2021 veröffentlicht wurde, gefährdet die IT-Sicherheit vieler Unternehmen. Die Sicherheitslücke im betroffenen Logging-Framework, welches auch Log4Shell genannt wird, ermöglicht es Hackern in Rechensysteme von Unternehmen eindringen, welche Java verwenden. Hackern ist es so möglich beliebigen Schadcode in den betroffenen Systemen auszuführen und diese erheblich zu kompromitieren.

Was kann dagegen getan werden?

Das Bundesamt für Sicherheit in Informationstechnik (BSI) hat bereits am Wochenende einerseits das IT-Krisenaktionszentrum aktiviert und eine besondere Aufbauorganisation (BAO) geschaffen, die die Lage intensiv analysiert hat. Das Na­tio­na­le Cy­ber-Abwehr­zentrum wurde ebenfalls über die Lage in Kenntnis gesetzt. Es wurden bereits mehrere Sammel-Threads mit Listen der betroffenen Softwares & Dienstleistern erstellt und passende Sicherheitspatches und Statements verlinkt – wie zum Beispiel auf GitHub.

Das BSI hat entsprechende Sicherheitswarnungen an Unternehmen herausgegeben, sofort Maßnahmen zu ergreifen sofern diese umsetzbar sind.  Systeme bei denen die Sicherheitslücke nicht unmittelbar geschlossen werden kann, sollten abgeschalten oder isoliert werden.

Ist mein Magento-Shop von dieser Sicherheitslücke betroffen?

Die Shop-Software Magento ist nicht direkt von der Sicherheitslücke betroffen, da nicht auf in Java geschriebene Software oder Code zurückgegriffen wird. Wenn in Ihrem Shop jedoch Software wie SOLR oder ElasticSearch zum Einsatz kommt, sollten Sie sich unmittelbar mit Ihrem Dienstleister oder Ihrer Agentur  in Verbindung setzen, falls Sie von diesen noch keine Info erhalten haben. Seit der Magento Version 2.4 wird ElasticSearch (Link) vorausgesetzt und ist auf dem Server installiert. In diesem Fall sollten sie ElasticSearch schnellstmöglich auf die entsprechenden von ElasticSearch bereitgestellten Sicherheitspatches updaten.

Wir als Agentur für Webentwicklung helfen Ihnen gerne, falls Sie auch von diesem Problem betroffen sind.

Sie interessieren sich für Magento? Unsere Magento-Experten stehen Ihnen bei Fragen gerne zur Verfügung und beraten Sie ausführlich zu Ihren Anforderungen.