Frisch entdeckte Sicherheitslücke in der Java-Bibliothek Log4j.
IT-Sicherheitsexperten schlagen Alarm. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte am Samstag seine Warnstufe zu der kritischen Schwachstelle (CVE-2021-44228) von Orange auf Rot hoch. Angreifern ist es gegebenenfalls möglich, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Wie weit sie verbreitet ist, war zunächst unklar. Die Wahrscheinlichkeit ist jedoch groß, dass die mit dieser Schwachstelle in Verbindung stehenden Angreiferaktivitäten in den nächsten Tagen deutlich zunehmen werden.

Was ist Log4j?
Log4j wird in vielen Java-Anwendungen eingesetzt und ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern.
Aufgrund der Tatsache, dass diese Bibliothek in sehr vielen Systemen zum Einsatz kommt, und diese Schwachstelle sehr einfach ausgenutzt werden kann, ist schnelles Handeln notwendig.
Welche Programme sind betroffen und was ist zu tun?
Auf Github wurde am Montagmorgen eine erste Liste mit Sicherheitswarnungen für Produkte von über 140 Herstellern veröffentlicht. Einige der Links verweisen direkt auf Herstellerseiten, die neben Informationen zur Betroffenheit auch Updates für Ihre Produkte bereitstellen. Die Inhalte wurden durch das BSI stichprobenartig verifiziert und sollen als erste Orientierungshilfe dienen. Laut BSI ist die Angabe der betroffenen Systeme noch nicht abgeschlossen und somit noch nicht vollständig. Weitere Hersteller prüfen derzeit noch die Betroffenheit.
Folgende Software und Programme, die wir ggf. bei Ihnen betreuen, sind betroffen und benötigen Handlungsbedarf:
- VMware
- Qognify Cayuga R13-R17 (Patches bereitgestellt)
- SonicWall Security Advisory (sonicwall.com)
- Sophos EAS-Proxy: Advisory: Log4j zero-day vulnerability AKA Log4Shell (CVE-2021-44228) | Sophos Mobile: Steps to mitigate the log4j vulnerability
Folgende Software und Programme, die wir ggf. bei Ihnen betreuen, sind nicht betroffen und benötigen keinen weiteren Handlungsbedarf:
- VEEAM
- Datto (https://www.datto.com/blog/dattos-response-to-log4shell)
- Estos
- CONTAILOR
- ProComp Ticketsystem DoneEasy
- ProComp FileExchange
- Webbasierte Individuallösungen von ProComp
- JobRouter
- SAP Schnittstellen
- Axis (CVE-2021-44228, Not affected. AXIS OS products only use the vanilla Apache webserver, and not Apache Log4j, which is vulnerable.)
- Mailstore
- Swyx (https://service.swyx.net/hc/de/articles/4412323539474)
- Senstar
- Barox
- 2N
Hersteller, Software und Programme, bei denen wir die Betroffenheit noch abklären:
- keine