Sicherheitslücke in Framework log4j

By 15. Dezember 2021Dezember 21st, 2021IT Security Blog

Beim Framework log4j Version 2 wurde im Dezember eine Sicherheitslücke bekannt. Diese kann unter anderem ausgenutzt werden, um auf dem Hostsystem Code auszuführen, zum Beispiel um Krypto-Mining zu betreiben. Das BSI hat dazu einen Roten Alarm zu bestimmten Paketen herausgegeben. Ein Problem dabei ist: Dieses Paket wird nicht bei betroffenen Linux-Distributionen als einzelne Datei geführt. Es ist auch oft nur Bestandteil der Installation von Programmen (Linux, Windows) und damit abhängig von Software-Aktualisierungen. Wie ist da also vorzugehen?

Effektiv müssen wir uns auf die Aussagen von Herstellern und Cloudprovidern verlassen. Dazu haben wir ein paar Punkte gesammelt, die Ihnen bei der Bewertung der Lage hilfreich zur Seite stehen können. Es ist sicherlich nur ein kleiner Ausschnitt unserer begrenzten Welt, gibt aber einen Blick auf uns, die Hersteller und Produkte.

Stellungnahmen unserer Hersteller:

 

Avast/AVG:

„Bei Avast haben die Sicherheit unserer Benutzer und der Schutz ihrer Privatsphäre höchste Priorität. Deshalb ergreift Avast kontinuierlich Maßnahmen, um die Sicherheit zu gewährleisten und zu verbessern, wo dies notwendig ist. Seit Bekanntwerden der Zero-Day-Lücke im Open-Source-Paket log4j2 hat Avast Patches und Workarounds implementiert, um unsere internen Systeme sowie unsere Privat- und Geschäftskundenprodukte zu schützen. Das Informationssicherheitsteam von Avast hat Sicherheitserkennungen und Schutzmaßnahmen implementiert, um potenzielle Angriffe zu blockieren, die diese Schwachstelle ausnutzen. Wir werden weiterhin Untersuchungen und Scans durchführen, um anfällige log4j2-Versionen in unserem Netzwerk zu identifizieren.

Avast hat mögliche Auswirkungen der log4j-Schwachstelle auf Avast Business- und Consumer-Produkte untersucht und bestätigt, dass die Avast-Produkte nicht von dieser Sicherheitslücke betroffen sind.“

 

barracuda – BarracudaMSP – Managed Workplace:

„Barracuda Networks ist sich der kürzlich bekannt gewordenen Sicherheitslücke bewusst, die das Open-Source Apache „Log4j“ Dienstprogramm betrifft (CVE-2021-44228). Wir haben unsere Sicherheitsüberwachungsprotokolle verstärkt und aktualisieren aktiv auf die neueste Version von Log4j für alle unsere Infrastrukturen und Dienste.“ Quelle

 

Hornetsecurity:

„Hornetsecurity erkennt den bösartigen Exploit-String bereits in E-Mails, hat aber bisher keine Angreifer beobachtet, die E-Mails direkt als Angriffsvektor nutzen. Die bisher beobachteten Fälle (neben Sicherheitsunternehmen und Kunden, die auf die Schwachstelle testen) stammen von Webformularen, in die die Angreifer den Log4Shell-Exploit geschrieben haben und für die der Besitzer des Webformulars dann eine Benachrichtigungs-E-Mail mit den Feldern des Formulars erhalten hat, die dann offensichtlich den Exploit-String enthielten.

Hornetsecurity überwacht E-Mails auf CVE-2021-44228-Exploit-Muster und wird die Erkennung ständig erweitern, um sich an neue Verschleierungen anzupassen, um sich auf mögliche gezielte E-Mail-Kampagnen mit dem Log4Shell-Exploit vorzubereiten. Quelle

 

Infotecs – ViPNet:

Diese Protokollierungsbibliothek für Java-Anwendungen findet in den IT-Security Produkten von Infotecs keine Verwendung!

 

Lamantine – Sticky Password:

„Unsere interne Software ist nicht von Log4j-Problemen betroffen. Wir verwenden dieses Paket nicht, und es ist nicht auf unseren Servern installiert.“

 

Langmeier Software

„Langmeier Backup ist von der Sicherheitslücke im Log4j-Modul nicht betroffen. Wir verwenden dieses Modul nicht.“

 

Jakobsoftware zum Thema log4j

Jakobsoftware Webseite:

WordPress, Plugins und Themes verwenden PHP als serverseitige Sprache. log4j ist eine Komponente für Java-Servlets. Es ist eine andere Programmiersprache und wird im WordPress-System nicht verwendet. Quelle

 

Das BSI aktualisiert seinen Statusbericht zu Log4Shell fortlaufend. In diesem Dokument sind auch einige Hinweise, wie man betroffene Systeme neben der Aktualisierung der Software noch etwas sicherer machen kann und welche Filter in Firewalls helfen, das Angriffsrisiko zu senken. https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html

Darüber hinaus hat der Bayerische Landesdatenschützer darauf hingewiesen, dass insbesondere Systeme mit personene bezogener Datenverarbeitung aufgefunden und entsprechend abzusichern seien. „Abwarten und Tee trinken“ ist keine Alternative.

 

Wir werden die Problematik weiter beobachten und neue Erkenntnisse hier ergänzen.