Log4j-Sicherheitslücke ist weit verbreitet
Die Sicherheitsorganisation MITRE stufte die Schwachstelle als kritisch ein und bewertete sie mit einem maximalen CVSS-Schweregrad (CVSS = Common Vulnerability Scoring System) von zehn Punkten. Kurz darauf begannen erste Angreifer, die Log4j-Schwachstelle auszunutzen. Staatliche Cybersicherheits-Institutionen auf der ganzen Welt, darunter das BSI, sahen sich veranlasst, unverzüglich Warnungen herauszugeben, in denen sie Unternehmen aufforderten, ihre Systeme sofort zu patchen.
Jonathan Care, Senior Director Analyst bei Gartner, beobachtet heute schon eine „extrem weite Verbreitung der Log4j-Sicherheitslücke“. Sie betreffe Unternehmensanwendungen genauso wie Embedded Systems und deren Sub-Komponenten. Java-basierte Anwendungen wie Cisco Webex, Minecraft oder Filezilla FTP seien Beispiele für betroffene Programme, aber die Liste sei noch keineswegs vollständig. Die Schwachstelle betreffe sogar die Mars-Mission „Helicopter“, wo Apache Log4j für das Event Logging nutze – eine Behauptung, die die NASA allerdings energisch bestreitet.