Eine Sicherheitslücke macht derzeit Webdienste wie iCloud, Steam und Twitter anfällig für unerwünschte Zugriffe auf Rechner. Deutschlands IT-Sicherheitsbehörde verhängte die höchste Kategorie der Cyber-Sicherheitswarnungen.
In einer Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom Freitag, war zunächst noch zurückhaltend von einer »unmittelbaren Erhöhung der IT-Bedrohungslage« die Rede. Eine kritische Schwachstelle in einer weitverbreiteten Software namens Log4j sei »trivial ausnutzbar«, es gebe auch schon einen sogenannten Proof-of-Concept, der zeigt, wie das in der Praxis funktioniert. Zunächst wurde die offizielle Warnung auf die Kategorie »3 / Orange«, später dann auf Warnstufe »Rot« hochgestuft. Dabei handelt es sich um die höchste Kategorie der vierstufigen BSI-Skala für Cyber-Sicherheitswarnungen. Die Behörde bezeichnete die Bedrohungslage damit als »extrem kritisch«.
Der renommierte IT-Sicherheitsexperte Marcus Hutchkins schätzte die Schwachstelle auf Twitter als »sehr schlimm« ein. Millionen Anwendungen würden die betroffene Software nutzen, schreibt Hutchkins und: »Bis jetzt konnten iCloud, Steam und Minecraft als anfällig bestätigt werden.«
Wie einfach es ist, die Schwachstelle auszunutzen, zeigt ein Tweet eines Twitter-Users, der sich als »Sicherheits-Enthusiast« beschreibt. Demnach war es ihm gelungen, die Schwachstelle auf Apple-Servern anzustoßen, einfach, indem er den Namen seines iPhones entsprechend änderte. Einige Stunden später war diese Lücke offenbar schon geschlossen.
Das Computer Emergency Response Team (CERT) der Deutschen Telekom meldete unterdessen, es registriere Angriffe auf seine Honeypot-Infrastruktur, die vom Anonymisierungsnetzwerk TOR ausgehe. Bei den genannten Honeypots, zu Deutsch Honigtöpfen, handelt es sich um Computer, die ausdrücklich ungeschützt ins Netz gestellt werden, um Cyberangreifer anzulocken und auf diese Weise Hinweise auf laufende Angriffskampagnen zu finden.
Gelingt es einem Angreifer, sich über die Schwachstelle Zugriff auf einen Rechner zu verschaffen, kann er dort eigenen Code, also eigene Programme ausführen und so die Kontrolle übernehmen. Das BSI beschreibt das so: »Die Ausnutzung der genannten Schwachstelle kann zu einer vollständigen Kompromittierung der Zielsysteme führen.«
Bis die nötigen Sicherheits-Updates bereitstehen, rät das BSI Unternehmen und Organisationen in einer Cyber-Sicherheitswarnung, eine Reihe von Abwehrmaßnahmen umzusetzen, die in diesem Dokument (PDF) beschrieben werden.
Quelle: spiegel
In einer Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom Freitag, war zunächst noch zurückhaltend von einer »unmittelbaren Erhöhung der IT-Bedrohungslage« die Rede. Eine kritische Schwachstelle in einer weitverbreiteten Software namens Log4j sei »trivial ausnutzbar«, es gebe auch schon einen sogenannten Proof-of-Concept, der zeigt, wie das in der Praxis funktioniert. Zunächst wurde die offizielle Warnung auf die Kategorie »3 / Orange«, später dann auf Warnstufe »Rot« hochgestuft. Dabei handelt es sich um die höchste Kategorie der vierstufigen BSI-Skala für Cyber-Sicherheitswarnungen. Die Behörde bezeichnete die Bedrohungslage damit als »extrem kritisch«.
Der renommierte IT-Sicherheitsexperte Marcus Hutchkins schätzte die Schwachstelle auf Twitter als »sehr schlimm« ein. Millionen Anwendungen würden die betroffene Software nutzen, schreibt Hutchkins und: »Bis jetzt konnten iCloud, Steam und Minecraft als anfällig bestätigt werden.«
Wie einfach es ist, die Schwachstelle auszunutzen, zeigt ein Tweet eines Twitter-Users, der sich als »Sicherheits-Enthusiast« beschreibt. Demnach war es ihm gelungen, die Schwachstelle auf Apple-Servern anzustoßen, einfach, indem er den Namen seines iPhones entsprechend änderte. Einige Stunden später war diese Lücke offenbar schon geschlossen.
Das Computer Emergency Response Team (CERT) der Deutschen Telekom meldete unterdessen, es registriere Angriffe auf seine Honeypot-Infrastruktur, die vom Anonymisierungsnetzwerk TOR ausgehe. Bei den genannten Honeypots, zu Deutsch Honigtöpfen, handelt es sich um Computer, die ausdrücklich ungeschützt ins Netz gestellt werden, um Cyberangreifer anzulocken und auf diese Weise Hinweise auf laufende Angriffskampagnen zu finden.
Gelingt es einem Angreifer, sich über die Schwachstelle Zugriff auf einen Rechner zu verschaffen, kann er dort eigenen Code, also eigene Programme ausführen und so die Kontrolle übernehmen. Das BSI beschreibt das so: »Die Ausnutzung der genannten Schwachstelle kann zu einer vollständigen Kompromittierung der Zielsysteme führen.«
»Das Internet steht gerade in Flammen.«
Die Nachrichtenagentur Associated Press zitiert Adam Myers von der IT-Sicherheitsfirma Crowdstrike mit der drastischeren Formulierung: »Das Internet steht gerade in Flammen.« Während die einen noch versuchen, ihre Server mit neuen Patches gegen die Schwachstelle abzusichern, würden andere sie bereits aktiv ausnutzen. Zwölf Stunden nach Bekanntwerden des Fehlers sei dieser bereits »vollständig waffentauglich« gemacht worden. Kriminelle haben demnach bereits Software entwickelt, um die Schwachstelle in Log4j für Angriffe auszunutzen.Bis die nötigen Sicherheits-Updates bereitstehen, rät das BSI Unternehmen und Organisationen in einer Cyber-Sicherheitswarnung, eine Reihe von Abwehrmaßnahmen umzusetzen, die in diesem Dokument (PDF) beschrieben werden.
Quelle: spiegel
