Log4j Sicherheitslücke (CVE-2021-44228)

Die aktuelle Sicherheitslücke log4j bedroht die IT Infrastruktur etlicher Unternehmen und Privatnutzer. Das Bundesamt für Sicherheit hat die Bedrohungslage auf den Status Rot und damit auf die höchste Warnstufe, gesetzt.

Link: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=6&fbclid=IwAR3pKpynZ22cCbYFPWxTG5XiAh6yHXyp7ij9-FV0bNDJd_e3JM_2iOQ3aeU

Warum ist das Problem so groß?

Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Die 3rd Partybibliothek wird weitreichend und von zahlreichen Diensten und Anwendungen zum loggen von Ereignissen genutzt. Es ist derzeit unklar, wo Log4j überall eingesetzt wird. Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von Log4j Teile der Nutzeranfragen protokollieren.

Eine zentrale Übersicht ist hier zu finden und wird ständig aktualisiert: https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592?fbclid=IwAR24gdg6jQ1cE72sXp61Btx69z-lZQNV__OV8oBkPBlF2oJKE_q7MfFfTiY

Was genau passiert?

Es ist eine enorme Anzahl von Servern, Diensten und Anwendungen betroffen. Hacker nutzen die Zero-Day Lücke aktiv aus und fahren breit angelegte Scans um betroffene Systeme zu identifizieren und zu kompromittieren. Das BSI kann derartige Scan-Aktivitäten bestätigen.

Neben erfolgreichen Kompromittierungen mit Kryptominern gibt es unter [3602021] erste Hinweise darauf, dass die Schwachstelle auch von Botnetzen ausgenutzt wird. Die Wahrscheinlichkeit ist groß, dass die mit dieser Schwachstelle in Verbindung stehenden Angreiferaktivitäten in den nächsten Tagen deutlich zunehmen werden.

Was kann ich tun?

Die Schwachstelle betrifft die Versionen 2.0 bis 2.14.1. Das Apache Project hat mit der kurzfristigen Releaseversion 2.15 das Sicherheitsleck geschlossen. Bitte aktualisiere ggf. deine Geräte.

Informiere dich auf den oben verlinkten Seiten und prüfe alle Hersteller, mit denen du zusammenarbeitest. Du solltest über eine offene Kommunikation mit deinen (Geschäfts-)Kunden nachdenken.

Sind die SYNAXON Managed Services Systeme betroffen?

Natürlich stehen wir seit Bekanntwerden der Sicherheitslücke mit unseren Herstellern in Verbindung. Zahlreiche Hersteller haben schon auf die Bedrohung reagiert und ihre Systeme am Wochenende gepatched. 

Hier eine Übersicht über alle unsere Systeme:

SYNAXON Managed Services ProduktProdukt betroffen Ja/Nein
Monitoring & Management (N-able)Update von N-able: https://status.n-able.com/2021/12/10/apache-log4j-vulnerability-updated-6-p-m-est-december-10-2021/ 
Nicht anfällig: Backup, Take Control, Passportal
RMM: N-able hat das Risiko innerhalb von RMM bewertet und Patches für alle potenziell anfälligen Komponenten bereitgestellt.
Managed Endpoint Protection (ESET)https://forum.eset.com/topic/30691-log4j-vulnerability/ 
“Log4j wird nicht in unseren Produkten verwendet, von daher sind sie von dieser Schwachstelle nicht betroffen.”
Managed Backup (Acronis)Nicht betroffen
Managed E-Mail-Archivierung (Mailstore)Nicht betroffen https://www.mailstore.com/de/blog/mailstore-schwachstelle-log4shell-betroffen/
Managed Firewall (Network Box)Nicht betroffen
Managed Antivirus (Bitdefender)Abhilfemaßnahmen wurden implementiert: https://businessinsights.bitdefender.com/security-advisory-bitdefender-response-to-critical-0-day-apache-log4j2-vulnerability
Managed Office https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/
Interne Systeme (SMS-Dashboard, Kundenabrechnung, Vertriebschancenreport, …)Alle Systeme wurden überprüft und gepatcht

Wie kann ich mich / meine Kunden schützen?

Solltest du selbst kompromittierte Systeme haben, müssen diese selbstverständliche sofort aktualisiert werden. 

Viel wichtiger ist aber das Resultat aus den erfolgreichen Angriffen (siehe oben). Stelle daher sicher, dass alle deine Kunden eine aktuelle Endpoint-Protection installiert haben, die Firewall ggf. Aktualisiert wurde und deine Kunden für das Thema sensibilisiert werden.

Schützt die SYNAXON Managed Firewall?

Der Hersteller hat entsprechende IDS- und IPS-Signaturen auf alle Network Box Systeme eingespielt, und arbeiten derzeit an passenden WAF-Signaturen. 

Gibt es Skripte für das SYNAXON Monitoring?

Eine Skriptüberprüfung wurde zur Verfügung gestellt. Der Blog-Beitrag ist hier zu finden.

Wie geht es weiter?

Da es noch immer viele Unklarheiten im Zusammenhang dieser Sicherheitslücke gibt, kann dieser Beitrag nur eine erste Hilfestellung sein. Wir werden hier aktualisieren und ergänzen, sofern es neue Erkenntnisse gibt.

Nützliche Links

IT Business Artikel:

https://www.it-business.de/warnung-vor-kritischer-sicherheitsluecke-in-log4j-a-1082361/?cmp=nl-356&uuid=7fa93aeb0d5bcf5e3a7512ed4dcb5420

BSI Meldung: 

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=6&fbclid=IwAR3pKpynZ22cCbYFPWxTG5XiAh6yHXyp7ij9-FV0bNDJd_e3JM_2iOQ3aeU

N-able Updates: 

ESET:

https://forum.eset.com/topic/30691-log4j-vulnerability/

Huntress Blog: 

https://www.huntress.com/blog/rapid-response-critical-rce-vulnerability-is-affecting-java

Update 13.12.21, 17:00

Unser Partner, die CosH Consulting GmbH, hat eine Vorlage für die Kommunikation mit dem Kunden bzgl. Log4j zur freien Verfügung bzw. Anpassung freigegeben:

https://coshaltdorf.sharepoint.com/:w:/g/EcUZ9hWFSs9CvUvbTbj_GYMBfz3g2hXM9PmuDU5P_hdeNw?rtime=SNyu2y–2Ug

Update 14.12.21 09:30

Die SYNAXON Akademie hat für unsere Partner ein kostenloses Info-Webinar mit Thomas Wittmann (Security-Experte und ehemaliger Hacker) am Donnerstag, 16.12. von 13:30 – 14:00 organisiert. Er erläutert die Risiken, Erkennung und Möglichkeiten zur Vermeidung dieses neuen Angriffes und beantwortet Fragen. Ihr könnt euch bei Interesse gerne über diesen Link anmelden: https://events.synaxon.de/events/37968

Update 14.12.21 10:00

Update von N-able – Wir haben das Risiko innerhalb von RMM bewertet und ab 16:00 Uhr EST am 10. Dezember Patches für alle anfälligen Komponenten bereitgestellt.

Update 15.12.21 12:07

Update von ESET: „As of December 11th, the Network Attack Protection feature in ESET security products on Windows was updated to detect the vulnerability. ESET has been blocking attempted attacks from 14:24 CET the same day.“

https://support.eset.com/en/alert8188-information-regarding-the-log4j2-vulnerability

Update 15.12.21 18:18

Update von Mailstore: „Unsere Produkte sind NICHT betroffen.“
Die Tabelle wurde mit dem Link zur Stellungnahme aktualisiert.

Update 20.12.21 10:44

Update der internen Systeme: „Alle Systeme wurden überprüft und gepatcht“
Die Tabelle wurde aktualisiert. Nachtrag zur Monitoring-Überprüfung hinzugefügt.