Gravierende Sicherheitslücke in Java-Software | log4j / log4Shell

Vergangenen Freitagabend wurde über die einschlägigen Kanäle (Bundesamt für Sicherheit in der Informationstechnik, Medien) über eine schwerwiegende Sicherheitslücke in der log4j Bibliothek berichtet, welche bereits aktiv ausgenutzt wird. Diese Bibliothek wird in sehr vielen Anwendungen (von Schliesssystemen über den Hypervisor, Backup bis hin zu Branchenanwendungen) verwendet und kann diese somit verwundbar machen. Dies ist abhängig von der eingesetzten Version der betreffenden log4j Bibliothek. Die Hersteller sind mit Hochdruck daran, ihre Anwendungen zu untersuchen und veröffentlichen stetig Status-Updates. Leider kann (Stand jetzt) das Ausmass noch nicht abgeschätzt werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Abwehrmassnahmen einzuleiten, um die Angriffsfläche zu reduzieren:
 
Konkret werden folgende Schritte empfohlen: 

• Nicht zwingend benötigte Systeme abschalten
• Netzwerke segmentieren, sodass verwundbare System von nicht extern-verbunden/internen Systemen isoliert werden

 
Für Systeme, die für unabdingbare Geschäftsprozesse nicht abgeschaltet werden können, wird dringend folgendes Vorgehen durch das BSI zum aktuellen Zeitpunkt empfohlen: 

• In Web-Application-Firewalls (WAF), Intrusion Prevention Systemen (IPS) oder Reverse Proxies Verbindungen, die Angriffsmuster aufweisen, direkt ohne Weitergabe an die Fachapplikation abweisen oder nicht zwingend benötigte HTTP-Header auf statische Werte setzen. (Empfehlung ITRIS: Kann durch entsprechende Anpassung des Angriffsmuster durch den Angreifer umgangen werden)
• Blockieren aller nicht zwingend notwendigen, ausgehenden Verbindungen.
• Umfassendes Logging und die Protokollierung aller eingehender und ausgehender Verbindungen, um im Nachgang eine Kompromittierung leichter feststellen zu können.
• Anomaliedetektion auf dem Host betreiben.
• Prüfen, mit welchen Rechten der betroffene Dienst betrieben wird und diese auf das notwendige Minimum reduzieren.
• Verbindungen zu anderen Systemen sollten getrennt werden.

 
Weitere Informationen jederzeit aktuell unter:

• BSI - Presse - Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage (bund.de)

 
Folgende Fach- und allgemeine Nachrichtenportale haben ebenfalls schon über diese Sicherheitslücke berichtet:

• Sicherheitslücke in Server-Software - BSI: Warnstufe Rot | NZZ
• Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen | heise online
• Schwachstelle bei Java - Deutsches Bundesamt für IT-Sicherheit warnt vor Software-Lücke - News - SRF

 
Im Internet werden derzeit Listen mit verwundbaren Produkten veröffentlicht. Diese inoffiziellen Listen werden laufend aktualisiert:

• Tech Solvency: The Story So Far: CVE-2021-44228 (Log4Shell log4j vulnerability).
• BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-12 2204 UTC · GitHub

 
Wir empfehlen Ihnen, sich an die Sicherheitsempfehlung des BSI zu halten und priorisiert, gemeinsam mit den Herstellern ihrer (exponierten / aus dem Internet erreichbaren) Fachapplikationen, auf die Verwundbarkeit zu prüfen. Aufgrund der Vielzahl an betroffenen Systemen, können wir zurzeit lediglich die durch die Hersteller kommunizierten Informationen wiedergeben, da die Liste laufend ergänzt wird.
 
Gerne stehen wir Ihnen über die entsprechenden Kanäle zur Verfügung.