Kritische Sicherheitslücke in log4j
[Nachtrag vom 22. Dezember 2021]
Maßnahmen der netgo group
Die netgo group verfügt über einen Prozess zur Meldung und Bearbeitung derartiger Vorfälle. Auf Basis der BSI Warnung am 11.12.2021 zur Meldung der Schwachstelle wurde ein gruppenübergreifender Krisenstab eingerichtet, der unter anderem folgende Sofort-Maßnahmen getroffen hat:
- Abschalten von Systemen, welche nicht eindeutig als nicht betroffen identifiziert werden konnten
- Einrichtung eines Krisenstabs
- kontinuierliche Dokumentation
- Interne Kommunikation an alle Mitarbeiter
- Kommunikation der Schwachstelle an alle Kunden
- Einleitung von Gegenmaßnahmen im Sinne des Patchmanagements
- Fortlaufende Beobachtung potenziell betroffener Produkte
Weiterhin gelten für unsere Kunden die zentralen Anlaufstellen des BSI zu weiteren empfohlenen Maßnahmen sowie die umfangreiche Liste mit betroffenen Systemen auf Github.
[Beitrag vom 13. Dezember 2021]
Log4j ist ein Framework zum Loggen von Anwendungsmeldungen in Java. Die Programmroutine hat sich als Standard-Logging-Methode bei Softwareherstellern etabliert. Konkret wird sie dazu verwendet, Protokolldaten einer Anwendung zu erzeugen.
Am 9. Dezember machten Sicherheitsforscher auf eine Sicherheitslücke in dieser Routine aufmerksam. Die inzwischen als Schwachstelle CVE-2021-4428 betitelte Lücke wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen als Warnstufe Rot eingestuft. Die Sicherheitslücke ermöglicht es Angreifern gegebenenfalls Programmcode auf den Zielsystemen auszuführen.
Ausmaß der Bedrohungslage
Laut BSI-Pressemeldung vom 11.12.2021 ist das genaue Ausmaß der Bedrohungslage nicht abschließend feststellbar. „Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden“, so das BSI.
Welche Systeme sind betroffen?
Die Liste der potenziell gefährdeten Systeme ist ausgesprochen lang. Sie reicht von Serversystemen jeder Art, über Cloudsysteme bis hin zu Switchen und Routern. Die hohe Anzahl der möglichen Systeme macht die aktuelle Gefahrenlage so unübersichtlich.
Auf github.com finden Sie eine stets aktualisierte und umfangreiche Liste über den Update-Status zahlreicher Hersteller.
Unsere Handlungsempfehlungen
Sollten für Ihre Systeme noch keine Updates vorliegen bzw. der Updatestatus noch unklar sein, empfehlen wir Ihnen eine Prüfung, ob einzelne Hardware- oder Software-Systeme aktualisiert oder bis zu einem Hersteller-Update vom Internet getrennt werden müssen.
Wir werden auf dieser Seite über Neuigkeiten zum Thema informieren.
Sie haben weitere Fragen?
Sollten Sie noch weitere Fragen haben, stehen wir Ihnen gern zur Verfügung. Auf unserer Kontaktseite finden Sie unsere Service-Rufnummern und -E-Mail Adressen.