Log4Shell: Wer mit den Patches zu lange wartet, kann gebüsst werden
Cyberkriminelle nutzen die seit Dezember bekannte Log4Shell-Sicherheitslücke für Angriffe aus. Um die Schwachstelle zu beheben, müssen Unternehmen aktuelle Patches installieren. Wer in den USA damit zu lange wartet, riskiert eine Busse der Handelskommission.
Auch fast einen Monat nach ihrer Entdeckung hält die Log4Shell-Schwachstelle nicht nur CISOs auf Trab. Nun hat die US-amerikanische Handelskommission (FTC) eine Warnung herausgegeben. Darin fordert sie Unternehmen auf, die Sicherheitspatches zur Behebung der Schwachstelle so schnell wie möglich einzuspielen. Ansonsten drohen rechtliche Konsequenzen.
"Es ist entscheidend, dass Unternehmen und deren Zulieferer, die Log4j verwenden, jetzt handeln, um die Wahrscheinlichkeit eines Schadens für die Verbraucher zu verringern und eine Klage der FTC zu vermeiden", erklärt die für den Verbraucherschutz zuständige US-Behörde in der Stellungnahme. Um zu unterstreichen, dass ihre Drohungen nicht auf die leichte Schulter zu nehmen sind, erinnert die FTC an eine Busse in der Höhe von 700 Millionen US-Dollar, die sie der Kreditauskunftei Equifax auferlegt hatte. Im Jahr 2017 hatte es das Unternehmen versäumt, eine Sicherheitslücke rechtzeitig zu schliessen. In der Folge wurden die persönlichen Daten von fast 150 Millionen Menschen abgegriffen.
Zur Erinnerung: Log4Shell umfasst mehrere Schwachstellen, die im Java-Protokollierungsprogramm Log4j, einer sehr beliebten Open-Source-Komponente, entdeckt wurden. Allein aus dem Maven Central Repository wurde die Programmbibliothek von August bis November 2021 fast 30 Millionen Mal heruntergeladen.
Laut mehrerer Cybersecurity-Teams, darunter Crowdstrike und Microsoft, haben sowohl kleine Cyberkriminelle als auch staatliche Akteure die Log4Shell-Schwachstellen in den letzten Wochen des Jahres 2021 aktiv ausgenutzt. Unter den Angreifern fanden sich Gruppen aus China, dem Iran, Nordkorea und der Türkei. Alle noch gefährdeten Organisationen sollten dringend die richtigen Patches einspielen, je nachdem, welche Version von Log4j sie installiert haben. Konkrete Sicherheitsmassnahmen sind etwa bei Apache auf der Seite zu Log4Shell aufgelistet.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.