TBA digital

BSI: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage

Diese Nachricht richtet sich vornehmlich an Kunden des TBA-Berlin.

Das Bundesamt für Sicherheit in der Informationstechnik warnt:

Höchste Warnstufe (Rot):
„Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage“

Die kritische Schwachstelle in log4j hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von dieser Software Teile der Nutzeranfragen protokollieren.

BSI: „Aufgrund der weiten Verbreitung der Bibliothek ist es nur schwer absehbar, welche Produkte alle betroffen sind. Das BSI sieht aktuell eine Erhöhung der IT-Bedrohungslage für Geschäftsprozesse und Anwendungen. Durch das aktuell breitflächige Scannen ist eine mögliche anschließende Infektion von anfälligen Systemen und Anwendungen, auch auf Grund aktuell oftmals noch fehlenden Patches, nicht auszuschließen. … Aktuell ist noch nicht bekannt in welchen Produkten diese Bibliothek eingesetzt wird, was dazu führt, dass zum jetzigen Zeitpunkt noch nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind.

Auch interne Systeme, die Informationen oder Daten von anderen Systemen verarbeiten, können ggf. kompromittiert werden und sind daher umgehen zu patchen.“

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3

Die Ironie an der Sache ist, dass ausgerechnet die Programmiersprache „Java“ betroffen ist. Java hat den Anspruch besonders „robust und sicher“ zu sein und wird daher in so vielen Bereichen eingesetzt, auf die man gar nicht kommt, von der Fahrzeugelektronik bis zum „smarten“ Bürokühlschrank. Bei kleineren Diensten und Geräten ist wahrscheinlich, dass der anfällige Programmteil noch länger verwendet wird, bevor jemand das Problem bemerkt. Da diese Dienste oft in andere Systeme und Dienste eingebettet sind, kann es lange dauern, bis alles ordnungsgemäß gepatcht ist.

Man lernt daraus: „Open Source“ ist keine Garantie für Fehlerfreiheit, wo Menschen arbeiten, passieren Fehler. Und es bleibt riskant, netzwerkfähige Geräte einzusetzen, die nicht gewartet werden können: Altsysteme oder Internet-Geräte aus zwielichtigen Quellen (z.B. die erstaunlich günstige Überwachungskamera oder das Mobile Phone „aus dem Internet“) werden oft gar keine Updates anbieten.

Was tun wir?

  • Wir setzen uns mit unseren Web-Providern umgehend in Kontakt, um den Schutz der Websites zu besprechen. Möglicherweise sind die Webserver (also unsere Websites) selbst nicht betroffen, das wird sich herausstellen.
  • Wir installieren vorsichtshalber vorübergehend eine Software Firewall auch bestimmten Kundenwebsites, die (noch) keinen Wartungsvertrag bei uns laufen haben. Damit können wir Angriffsversuche auf die Websites breiter protokollieren und nach Auffälligkeiten Ausschau halten.
  • Wir prüfen eigene Systeme (Betriebssysteme, Software, Router etc.) täglich nach verfügbaren Updates und das ist auch unsere Empfehlung an unsere Kunden.
  • Wir verfolgen die weitere Entwicklung tagesaktuell auf der Seite des BSI.

Erste Maßnahmen für Nicht-Computerexperten unter unseren Kunden:

Wer keinen IT-Fachmann im Haus hat, kann Folgendes tun: Überall bei Geräten die im betrieblichen oder HomeOffice-Netzwerk hängen, Laptops, Mobile Phones/Tablets, Router, (z.B. medizinische) Geräte, Kameras, Telefonie, Drucker (aber auch Musik und Spiele im Home Office) in den nächsten Tagen (und Monaten) nach Updates Ausschau zu halten und diese zeitnah zu installieren.

Update


12.12. 2021 21h

Update für MAC-User

„Sofern Sie auf Ihrem Mac keine Dienste betreiben, die Log4j für die Protokollierung verwenden, und diese für eingehende Internetverbindungen offen sind [z.B. VPN-Systeme, vielleicht auch Xcode oder Java-SEO-Tools?], hat dies keine direkten Folgen für Mac-Benutzer. Fast jeder externe Dienst, mit dem Ihr Mac verbunden ist, musste jedoch sehr schnell gepatcht werden [z.B. Internet-Router?] …“ und iCloud sei bereits gefixt, schreibt:
https://eclecticlight.co/2021/12/12/last-week-on-my-mac-when-the-internet-caught-fire/

Update


13.12. 2021 16h

Unsere Webserver sind nicht betroffen

Unser Provider bei DF.eu nun offiziell bestätigt, dass die Webserver, welches wir verwenden, konkret nicht betroffen sind, obwohl dort neben NGNIX  auch das Betriebssystem APACHE läuft.

Das ist doch mal eine gute Nachricht.

Router Fritz!Box und Netgear wohl nicht betroffen

Die in Deutschland sehr populären Router Fritz!Box und Netgear sind nach Selbstauskünften der Hersteller wohl nicht betroffen.

Update


14.12. 2021 19h

Cloudsysteme und Content Distribution Networks

Microsoft, Apple, etc  … sind stellenweise betroffen. Von Apple wissen wir zum Beispiel, dass die deren iCloud bereits am Samstag gefixt hatten.

Programme auf eigenen PC, die JAVA einsetzen

…. sind zum Teil betroffen. Bei uns traf es SEO-Software, die heute Updates erhielten.

IOT Geräte die im Netzwerk  hängen

…. sind zum Teil betroffen. Bei uns gab es im Office etwa Updates für ein vernetztes Brandmeldesystem.

Update


15.12. 2021 16h

Stand der Dinge 15.12/2021

Der BSI Bundesamt hat seine Warnung aktualisiert.

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549177-1032.pdf?__blob=publicationFile&v=3

Es zeichnet sich das Bild ab, dass Konsumenten/kleine Firmen eher nicht direkt betroffen sind (es sei denn sie verwenden Java-Software oder bestimmte internetfähige Spiele), aber indirekt schon: durch Anbindungen an Clouds etc. und darauf setzen müssen, dass die jeweiligen Anbieter zeitnah reagieren. Da aber JAVA auch in vielen Geräten vorkommt, sollten uauch Konsumenten regelmäßig prüfen, ob es da Updates gibt.

Größere Firmen werden weit mehr auf Java-Software in ihren Geräten und Systemumgebungen stoßen, die mit dem Internet verbunden sind und das protokollieren. Das Thema ist komplex und die Handlungsempfehlungen des BSI für deren IT-Teams sind entsprechend umfangreich. Da wird es so kurz vor Weihnachten sicher manche Überstunden geben.

Java-Software erkennt man übrigens daran, dass sie oft etwas anders aussieht als typischerweise bei Windows oder Apple: Andere Optik, andere Buttons und beim Öffnen von Dateien ist das Verhalten auch leicht anders als normal. Wenn diese Software netzwerkfähig ist oder sogar auf das Internet zugreift, könnte man evtl. den Hersteller zu Log4J befragen, falls bisher noch keine Updates erschienen sind.

Update


29. 1. 2022

Stand der Dinge Januar 2022

Der Heise Verlag (CT Magazin) zur Lage 2022 – der erwartete große Knall blieb aus, die Bedrohungslage bleibt:

https://www.heise.de/hintergrund/Log4Shell-Eine-Bestandsaufnahme-6342536.html

 

Weitere News

TBA-BERLIN