Log4j-Schwachstelle

Sehr geehrte Kundin, sehr geehrter Kunde,

wie Sie sicherlich bereits aus Funk, Fernsehen und Presse erfahren haben, wurde eine weltweit akute schwere Sicherheitslücke auf Anwendungsebene publiziert, welche potenziell alle Systeme betrifft, die mit der Log4j-Bibliothek (JAVA) arbeiten. Diese Lücke wird bereits, dies zeigen neuste Erkenntnisse, seit Anfang Dezember aktiv genutzt!

Im Hinblick darauf, dass die Schwachstelle durch Angreifer bereits aktiv ausgenutzt wird, hat das BSI die Schwachstelle am Wochenende auf die höchste Stufe „critical“ hochgestuft.

Es muss unverzüglich gehandelt werden!

Nähere Informationen zu der Schwachstelle finden Sie z.B. hier:

Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228) (bund.de)

Schutz vor Log4j-Lücke – was hilft jetzt und was eher nicht | heise online

Nützliche Informationen zu betroffenen Herstellern/Produkten finden Sie u.a. über diese Links:

log4shell/software at main · NCSC-NL/log4shell (github.com)

BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-12 2204 UTC (github.com)

GitHub - YfryTchsGD/Log4jAttackSurface

Die aktuelle Patchlage ist sehr unübersichtlich und insbesondere sehr dünn.

Wir haben vor einigen Tagen bereits das IDS/IPS-System im Rechenzentrum soweit mit den aktuellen Signaturen und neuen Regelwerken versorgt, sodass mögliche Angriffe über unverschlüsselte Verbindungen (z.B. http) und teilweise auch über verschlüsselte Verbindungen (z.B. https, abhängig vom Handling der Domain-Namensauflösung) erkannt werden können.

Ebenso wurde unsere DNS-Security dahingehend aktualisiert, dass ein Nachladen von Code von und eine Datenausleitung (Upload) von Informationen an einschlägige Sites unterbunden wird.

Weiterhin wurden bereits erste BSI-Empfehlungen umgesetzt.

Die Managed Services (SaaS), die durch die All for One Group betreute Softwarekomponenten und die Backend-Infrastruktur im Rechenzentrum werden bereits seit dem Wochenende von uns analysiert und – wo bereits möglich – aktualisiert.

Unsere Mitarbeiter kommen kundenindividuell auf Sie zu, um die aktuellen Maßnahmen besprechen.

IaaS- und PaaS-Systeme:

Diese Systeme liegen applikatorisch in der Kundenverantwortung. Hier sind Sie als Kunde gefordert, Ihre Software selbst oder durch dritte (Hersteller) zu schützen, auf mögliche Workarounds zu prüfen und diese zu etablieren bzw. und auf dem aktuellen Stand zu halten.

Es ist immanent wichtig und in Ihrer Verantwortung festzustellen, welche Software auf Ihren Systemen die betroffene Log4j-Bibliothek nutzt und entsprechende Gegenmaßnahmen umzusetzen/per Ticket zu beauftragen. Andernfalls kann es in Ihrem Netzsegment zu Störungen und Angriffen auf Ihre Services kommen!

Folgende Tools (Liste nicht vollständig) könne dabei hilfreich sein:

GitHub - mergebase/log4j-detector: Detects log4j versions on your file-system, including deeply recursively nested copies (zips inside zips inside zips).

Log4j RCE CVE-2021-44228 Exploitation Detection (github.com)

Neo23x0/log4shell-detector: Detector for Log4Shell exploitation attempts (github.com)

hillu/local-log4j-vuln-scanner: Simple local scanner for vulnerable log4j instances (github.com)