Diese Nachricht richtet sich vornehmlich an Kunden des TBA-Berlin.
Das Bundesamt für Sicherheit in der Informationstechnik warnt:
Höchste Warnstufe (Rot):
„Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage“
Die kritische Schwachstelle in log4j hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von dieser Software Teile der Nutzeranfragen protokollieren.
BSI: „Aufgrund der weiten Verbreitung der Bibliothek ist es nur schwer absehbar, welche Produkte alle betroffen sind. Das BSI sieht aktuell eine Erhöhung der IT-Bedrohungslage für Geschäftsprozesse und Anwendungen. Durch das aktuell breitflächige Scannen ist eine mögliche anschließende Infektion von anfälligen Systemen und Anwendungen, auch auf Grund aktuell oftmals noch fehlenden Patches, nicht auszuschließen. … Aktuell ist noch nicht bekannt in welchen Produkten diese Bibliothek eingesetzt wird, was dazu führt, dass zum jetzigen Zeitpunkt noch nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind.
Auch interne Systeme, die Informationen oder Daten von anderen Systemen verarbeiten, können ggf. kompromittiert werden und sind daher umgehen zu patchen.“
Die Ironie an der Sache ist, dass ausgerechnet die Programmiersprache „Java“ betroffen ist. Java hat den Anspruch besonders „robust und sicher“ zu sein und wird daher in so vielen Bereichen eingesetzt, auf die man gar nicht kommt, von der Fahrzeugelektronik bis zum „smarten“ Bürokühlschrank. Bei kleineren Diensten und Geräten ist wahrscheinlich, dass der anfällige Programmteil noch länger verwendet wird, bevor jemand das Problem bemerkt. Da diese Dienste oft in andere Systeme und Dienste eingebettet sind, kann es lange dauern, bis alles ordnungsgemäß gepatcht ist.
Man lernt daraus: „Open Source“ ist keine Garantie für Fehlerfreiheit, wo Menschen arbeiten, passieren Fehler. Und es bleibt riskant, netzwerkfähige Geräte einzusetzen, die nicht gewartet werden können: Altsysteme oder Internet-Geräte aus zwielichtigen Quellen (z.B. die erstaunlich günstige Überwachungskamera oder das Mobile Phone „aus dem Internet“) werden oft gar keine Updates anbieten.
Was tun wir?
- Wir setzen uns mit unseren Web-Providern umgehend in Kontakt, um den Schutz der Websites zu besprechen. Möglicherweise sind die Webserver (also unsere Websites) selbst nicht betroffen, das wird sich herausstellen.
- Wir installieren vorsichtshalber vorübergehend eine Software Firewall auch bestimmten Kundenwebsites, die (noch) keinen Wartungsvertrag bei uns laufen haben. Damit können wir Angriffsversuche auf die Websites breiter protokollieren und nach Auffälligkeiten Ausschau halten.
- Wir prüfen eigene Systeme (Betriebssysteme, Software, Router etc.) täglich nach verfügbaren Updates und das ist auch unsere Empfehlung an unsere Kunden.
- Wir verfolgen die weitere Entwicklung tagesaktuell auf der Seite des BSI.
Erste Maßnahmen für Nicht-Computerexperten unter unseren Kunden:
Wer keinen IT-Fachmann im Haus hat, kann Folgendes tun: Überall bei Geräten die im betrieblichen oder HomeOffice-Netzwerk hängen, Laptops, Mobile Phones/Tablets, Router, (z.B. medizinische) Geräte, Kameras, Telefonie, Drucker (aber auch Musik und Spiele im Home Office) in den nächsten Tagen (und Monaten) nach Updates Ausschau zu halten und diese zeitnah zu installieren.
Update
12.12. 2021 21h
Update für MAC-User
„Sofern Sie auf Ihrem Mac keine Dienste betreiben, die Log4j für die Protokollierung verwenden, und diese für eingehende Internetverbindungen offen sind [z.B. VPN-Systeme, vielleicht auch Xcode oder Java-SEO-Tools?], hat dies keine direkten Folgen für Mac-Benutzer. Fast jeder externe Dienst, mit dem Ihr Mac verbunden ist, musste jedoch sehr schnell gepatcht werden [z.B. Internet-Router?] …“ und iCloud sei bereits gefixt, schreibt:
https://eclecticlight.co/2021/12/12/last-week-on-my-mac-when-the-internet-caught-fire/
Update
13.12. 2021 16h
Unsere Webserver sind nicht betroffen
Unser Provider bei DF.eu nun offiziell bestätigt, dass die Webserver, welches wir verwenden, konkret nicht betroffen sind, obwohl dort neben NGNIX auch das Betriebssystem APACHE läuft.
Das ist doch mal eine gute Nachricht.
Router Fritz!Box und Netgear wohl nicht betroffen
Die in Deutschland sehr populären Router Fritz!Box und Netgear sind nach Selbstauskünften der Hersteller wohl nicht betroffen.
Update
14.12. 2021 19h
Cloudsysteme und Content Distribution Networks
Microsoft, Apple, etc … sind stellenweise betroffen. Von Apple wissen wir zum Beispiel, dass die deren iCloud bereits am Samstag gefixt hatten.
Programme auf eigenen PC, die JAVA einsetzen
…. sind zum Teil betroffen. Bei uns traf es SEO-Software, die heute Updates erhielten.
IOT Geräte die im Netzwerk hängen
…. sind zum Teil betroffen. Bei uns gab es im Office etwa Updates für ein vernetztes Brandmeldesystem.
Update
15.12. 2021 16h
Stand der Dinge 15.12/2021
Der BSI Bundesamt hat seine Warnung aktualisiert.
Es zeichnet sich das Bild ab, dass Konsumenten/kleine Firmen eher nicht direkt betroffen sind (es sei denn sie verwenden Java-Software oder bestimmte internetfähige Spiele), aber indirekt schon: durch Anbindungen an Clouds etc. und darauf setzen müssen, dass die jeweiligen Anbieter zeitnah reagieren. Da aber JAVA auch in vielen Geräten vorkommt, sollten uauch Konsumenten regelmäßig prüfen, ob es da Updates gibt.
Größere Firmen werden weit mehr auf Java-Software in ihren Geräten und Systemumgebungen stoßen, die mit dem Internet verbunden sind und das protokollieren. Das Thema ist komplex und die Handlungsempfehlungen des BSI für deren IT-Teams sind entsprechend umfangreich. Da wird es so kurz vor Weihnachten sicher manche Überstunden geben.
Java-Software erkennt man übrigens daran, dass sie oft etwas anders aussieht als typischerweise bei Windows oder Apple: Andere Optik, andere Buttons und beim Öffnen von Dateien ist das Verhalten auch leicht anders als normal. Wenn diese Software netzwerkfähig ist oder sogar auf das Internet zugreift, könnte man evtl. den Hersteller zu Log4J befragen, falls bisher noch keine Updates erschienen sind.
Update
29. 1. 2022
Stand der Dinge Januar 2022
Der Heise Verlag (CT Magazin) zur Lage 2022 – der erwartete große Knall blieb aus, die Bedrohungslage bleibt:
https://www.heise.de/hintergrund/Log4Shell-Eine-Bestandsaufnahme-6342536.html