Security Experten warnen erneut vor einer hochkritischen Sicherheitslücke
Aktuelle Sicherheits-Meldungen berichten über die Schwachstelle CVE-2021-44228 in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Alarmstufe rot ausgerufen und die Lücke auf höchste Warnstufe hochgesetzt. Den genauen Bericht des BSI können Sie hier nachlesen:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=7
LOG4J ist eine Java-Bibliothek (Code-Sammlung zu einer verbreiteten Programmiersprache) und wird häufig als Bestandteil von Web-Applikationen benutzt.
Wer oder was ist betroffen?
Aus aktueller Sicht können ausschließlich die Hersteller der diversen Systeme beurteilen, ob die Sicherheitslücke vorhanden ist oder nicht. Aktuell ist bereits bekannt, dass Dienste namhafter Hersteller wie Apple (iCloud), Steam, Twitter, Tesla, Atlassian (Jira, Confluence) und Amazon betroffen sein sollen.
Wie kann man sich dagegen schützen?
Es wurden bereits Sicherheitsupdates veröffentlicht, die schnellstmöglich eingespielt werden sollten. Je nachdem, ob sich der Hersteller einer Software darum kümmert oder der Betreiber - es ist zu hinterfragen, ob die Sicherheitslücke existiert und ob sie bereits behoben ist.
Im Notfall muss versucht werden, den Zugriff aus dem Internet auf das Service zu verhindern.
Was Sie nun unbedingt machen (lassen) sollten
Gehen Sie die Liste der in Ihrem Unternehmen eingesetzten/verwendeten Applikationen durch (idealerweise verfügen Sie über ein Verzeichnis der Verarbeitungstätigkeiten) und überprüfen Sie, ob eine davon Log4J verwendet. Kontaktieren Sie im Zweifelsfall die Hersteller Ihrer Systeme. Vergessen Sie dabei nicht externe Services mit zu beurteilen (z. B. Zugriff auf Amazon Web Services, Apple iCloud, Website-Hosting, ...)
Schotten Sie betroffene (und nicht gepatchte) Systeme unbedingt schnellst möglich vom Internet ab, so dass Angreifern die Möglichkeit zur Verbindungsaufnahme unterbunden wird.
Sorgen Sie dafür, dass die verfügbaren Patches für die Sicherheitslücke eingespielt werden.
Was PNC für Sie tun kann
Wir unterstützen Sie gerne in der Erhebung und Klärung bei den eingesetzten Systemen.
Technische Details
Das Swiss Government Computer Emergency Response Team (govcert) hat den Ablauf der log4j Attacke schematisch dargestellt:
(Quelle und copyright: govcert.ch)
Die CVE-Nummer ist nun offiziell bestätigt:
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Apache gibt einen Base CVSS Score von 10.0 an:
https://logging.apache.org/log4j/2.x/security.html
Detaillierte Informationen zu den Exploits sowie einige Gegenmaßnahmen finden Sie auch in folgendem Blogpost des Schweizer GovCERTs:
https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/
Betroffene Hersteller und Produkte
Aktuell ist bereits eine ganze Liste von Herstellern / Produkten betroffen und die Sicherheitslücke bekannt. Einige der Hersteller haben bereits Maßnahmen veröffentlich bzw. empfohlen. Bitte achten Sie daher auf die weiterführenden Informationen hinter folgenden Links:
- Atlassian (Confluence, Jira)
https://confluence.atlassian.com/kb/faq-for-cve-2021-44228-1103069406.html - APC
https://www.se.com/ww/en/download/document/SESB-2021-347-01/ - Blackberry Enterprise Mobility Server & Workspaces (Workaround vorhanden)
- Commscope (virtual Smart Zone)
- CyberArk Priviledged Threat Analytics (Workaround):
https://cyberark-customers.force.com/s/article/PTA-CVE-2021-44228-Mitigation-for-Privilege-Threat-Analytics - CyberArk Remote Access (Fix vorhanden):
https://cyberark-customers.force.com/s/article/Remote-Access-CVE-2021-44228-log4j-Mitigation-for-Remote-Access-Alero-Connector - FileCloud
https://www.getfilecloud.com/supportdocs/display/cloud/Advisory+2021-12-2+Impact+of+Apache+Log4j2+Vulnerability+on+FileCloud+Customers - Forcepoint NGFW Security Manager:
https://support.forcepoint.com/s/article/CVE-2021-44228-Java-log4j-vulnerability-mitigation-with-NGFW-Security-Management-Center - GFI Kerio Connect:
https://forums.gfi.com/index.php?t=msg&goto=150639&&srch=log4j#msg_150639 - HID AAA + CMS
- Ivanti/mobileiron (Fix vorhanden):
https://forums.ivanti.com/s/article/Security-Bulletin-CVE-2021-44228-Remote-code-injection-in-Log4j - macmon: Fix kommt mit Update 5.28.2.2
- N-able RMM & Risk Intelligence:
https://status.n-able.com/2021/12/10/apache-log4j-vulnerability-updated-6-p-m-est-december-10-2021/ - Progress WhatsUp Gold:
https://knowledgebase.progress.com/articles/Knowledge/Is-WhatsUp-Gold-vulnerable-to-CVE-2021-44228-Log4j?_ga=2.171130976.1761431284.1639385895-1819922510.1598364048 - Sonicwall Email Security:
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0032 - Sophos Cloud Optix:
https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce - Ubiquiti
https://community.ui.com/releases/UniFi-Network-Application-6-5-54/d717f241-48bb-4979-8b10-99db36ddabe1
13.12.2021
Alexander Beck
