Log4j-Lücke: Cypberpoligon kann starten
Hallo Forum,
ich weiß nicht, ob ihr die Log4j-Lücke mitbekommen habt!? Diese hätte das Potential bei einem Angriff auf die Serverstruktur für/der Lieferketten ein verherendes Zerstörungspotential zu entfalten.
Log4j ist eine Java-Bibliothek die in vielen (Server-) Anwendungen steckt, die Lücke ist so garvierend, dass eine Schadcodeausführung im betroffenen System möglich ist. Es gibt mittlerweile gepatchte Versionen, aber ein einspielen der gepatchten Version ist teilweise nicht möglich, da sich die Bibliothek in (propritärer) Software befindet, bzw. gar nicht bekannt ist, dass die Programmierer Log4j in ihre Software mitaufgenommen haben.
Heise hat eine gute Zusammenfassung der Problematik.
Es gibt mittlerweile mehrere Listen, in denen verwundbare Dienste, Webseiten, Softwareprodukte etc. aufgelistet werden. Beim durchscrollen der Listen entdeckt man viele Hochkaräter der Tech-Branche.
Die kürzere Liste enthält folgende Hersteller:
- Manufacturer/Component Notes Verified
- Apple TRUE
- Tencent TRUE
- Steam TRUE
- Twitter TRUE
- Baidu TRUE
- DIDI TRUE
- JD TRUE
- NetEase TRUE
- CloudFlare TRUE
- Amazon TRUE
- Tesla TRUE
- Apache Solr TRUE
- Apache Druid TRUE
- Apache Flink FALSE
- Apache Struts2 TRUE
- flume FALSE
- dubbo FALSE
- IBM Qradar SIEM TRUE
- PaloAlto Panorama TRUE
- Redis FALSE
- logstash FALSE
- ElasticSearch TRUE
- kafka FALSE
- ghidra TRUE
- ghidra server TRUE
- Minecraft TRUE
- PulseSecure TRUE
- UniFi TRUE
- VMWare TRUE
- Blender TRUE
- Google TRUE
- Webex TRUE
- LinkedIn TRUE
- VMWarevCenter TRUE
- Speed camera LOL TRUE
Nun ist es ja so, dass auf Event 201 Cyberpoligon folgen könnte. Mit dieser Lücke hält man ein "Werkzeug" in der Hand, dass mindestens so schlimm wie Heartbleed ist.
Nicht, dass sich die selbsterfüllende Prophezeihung von Cyperpoligon schon jetzt in einem von Mangel geprägten wirtschaftlichen Umfeld erfüllen wird... ![[[zwinker]]](images/smilies/zwinker.gif)
P. S. Wie von @Ashitaka vorausgesagt, mehren sich nun die Meldungen zum LKW-Fahrermangel...