Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Bedrohungslage durch die kritische Schwachstelle log4j CVE-2021-44228 (Log4Shell) auf die Warnstufe ROT erhöht. Auch wir möchten Anwendern unsere Einschätzung zu dieser Schwachstelle kommunizieren und einige Handlungsempfehlungen an die Hand geben.
Die Schwachstelle CVE-2021-44228 [MIT2021] in log4j in den Versionen 2.0 bis 2.14.1 ermöglicht es Angreifern möglicherweise, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht dann, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren.
Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.
indevis Managed Services und Maßnahmen
Schon seit dem Wochenende scannt unser Security Team alle eingesetzten Produkte und Lösungen unserer Hersteller und patcht kontinuierlich sämtliche Infrastruktur-Bestandteile unserer indevis Managed Security Services. Für unsere Systeme und die Kunden unserer indevis Managed Security Services besteht keine Bedrohung mehr.
indevis Handlungsempfehlungen für Systeme in eigener Betriebsverantwortung
- In der Cyber-Sicherheitswarnung des BSI sind erste Maßnahmen und Mitigationen näher beschrieben, die Sie befolgen sollten: BSI-Cyber-Sicherheitswarnung Kritische Schwachstelle log4j CVE-2021-44228.
- Mittlerweile haben fast alle Hersteller Security Advisories veröffentlicht. Wir empfehlen, sich an verfügbaren Listen der Hersteller-Advisories zu orientieren (Achtung: keine Gewähr für Vollständigkeit) und die eigenen Systeme zu kontrollieren und upzudaten. Nachfolgend zwei verschiedene Übersichtslisten:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/
Nicht alle Hersteller sind von dieser Schwachstelle betroffen. So stuft unser Fokus-Partnerhersteller Palo Alto Networks die Auswirkungen der Schwachstelle auf die eigenen Produkte mit Severity 0 – NONE ein: https://security.paloaltonetworks.com/CVE-2021-44228
- Mit dem nachfolgenden Tool steht Ihnen ein vollautomatischer, genauer und umfassender Scanner zum Auffinden anfälliger log4j-Hosts zur Verfügung: https://github.com/fullhunt/log4j-scan
