Log4j: Aufruf zu mehr Crowdsourced Security
Die Schwachstelle Log4Shell erinnert daran, dass jedes moderne Computersystem aus Tausenden von Komponenten besteht
Das größte Risiko kann dabei auch von denjenigen Komponenten ausgehen, bei denen man dies am wenigsten erwartet hätte
Log4Shell, eine kritische Zero-Day-Sicherheitslücke der weitverbreiteten Java-Logging-Bibliothek Log4j, beschäftigt aktuell die IT-Sicherheitswelt. Das BSI hat die höchste Warnstufe ausgerufen. IT-Sicherheitsexperten versuchen mit Hochdruck, ihre Systeme mithilfe der inzwischen bekannten Informationen und erster Updates abzusichern. Der Softwarefehler, der übrigens über ein Bug-Bounty-Programm aufgedeckt wurde, wird bereits als kritischste Sicherheitslücke des letzten Jahrzehnts eingestuft. Denn: Die Schwachstelle wurde in einem Open-Source-Protokollierungs-Tool aufgedeckt, das in Cloud-Servern und Unternehmenssoftware allgegenwärtig ist.
Phil Leatham, Senior Account Executive für YesWeHack Deutschland, gibt folgende Einschätzung und ruft gerade in diesen Zeiten zu mehr Crowdsourced Security auf:
"Die Schwachstelle Log4Shell erinnert uns daran, dass jedes moderne Computersystem aus hunderten und tausenden von Komponenten besteht. Das größte Risiko kann dabei auch von denjenigen Komponenten ausgehen, bei denen man dies am wenigsten erwartet hätte. Unabhängig davon, ob es sich um Open-Source- oder Closed-Source-Software handelt.
In diesem speziellen Fall erweist sich ausgerechnet eine Komponente, die von fast allen Systemen – oft ohne es zu wissen – für eine so harmlose und normalerweise ‚unangreifbare‘ Funktion wie die Protokollierung verwendet wird, als Achillesferse des Internets.
Und wieder einmal hat die schnelle Mobilisierung der Sicherheitsgemeinschaft, um betroffene Systeme zu identifizieren und Lösungen zu finden, uns in die glückliche Lage versetzt, die potenziell katastrophalen Auswirkungen einer solchen Schwachstelle zu verringern. Um das erneute Auftreten ähnlicher Risiken zu verhindern, wird es immer notwendiger, diese Gemeinschaft und insbesondere die Community der ethischen Hacker stärker zu nutzen. Dies kann Unternehmen dabei helfen, ihre Sicherheitsgrenzen zu schützen und, was noch wichtiger ist, ihr Netzwerk in Echtzeit zu überwachen. So können sie eventuelle Korrekturen vornehmen, bevor ein böswilliger Akteur davon profitiert." (YesWeHack: ra)
eingetragen: 14.12.21
Newsletterlauf: 17.02.22
YesWeHack: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.