17. Dezember 2021 
Marc Wilhelmi 

log4j: inte­grate-it hilft Firmen, Schwach­stellen zu erkennen

Aufgrund der kriti­schen Schwach­stelle in der gängigen Java-Biblio­thek Log4j ruft das BSI eine „extrem kriti­sche“ Bedro­hungs­lage aus. Vermut­lich sind neben Firmen auch Mitar­beiter im Home­of­fice und Privat­an­wender betroffen.

Log4j ist eine häufig verwen­dete Biblio­thek für die Proto­kol­lie­rung von Anwen­dungs­mel­dungen in Java. Das Problem ist, dass diese Kompo­nente als de-facto-Stan­dard in extrem vielen Java-Anwen­dungen einge­setzt wird. Die Sicher­heits­lücke, die jüngst entdeckt wurde, erlaubt es einem Angreifer belie­bigen Code bereits mit einer Abfrage aus dem Host­system auszu­führen. Damit könnten Ransom­ware-Angriffe verübt werden, aber auch bspw. soge­nannte Krypto-Miner instal­liert werden, die z. B. Bitcoins „schürfen“.

Ein genauer Über­blick, wo Log4j zum Einsatz kommt und welche Firmen und Inter­net­dienste betroffen sind, wird derzeit z. B. bei Github zusam­men­ge­tragen (Liste). Einen voll­stän­digen Katalog zu erstellen, ist aber vermut­lich nicht möglich. Teil­weise kann die Verwen­dung von Log4j aus einem Soft­ware-Inven­tory oder einer CMDB ausge­lesen werden. Aber das allein gibt leider nicht genü­gend Sicher­heit. Häufig wird die Kompo­nente als Teil einer größeren Appli­ka­tion ausge­lie­fert und damit gar nicht als eigenes Paket ange­zeigt. Das BSI rät daher bereits dazu, nicht notwen­dige Systeme abzuschalten. 

 

Was ist Log4j?

Was hilft gegen die Sicher­heits­lücke bei Log4j?

Derzeit hilft nur ein Vulnerabi­lity Scan über alle Systeme, bei dem neben Log4j-Lücken auch alle anderen bekannten Sicher­heits­lü­cken erkannt werden. Ein derar­tiger Scan ist im Moment das einzige Mittel, um das Risiko zu begrenzen. 

Opti­ma­ler­weise werden solche Scans regel­mäßig durch­ge­führt, um Systeme mit Lücken, aber auch „verges­sene“ Systeme u. a. zu iden­ti­fi­zieren. Als inte­grate-it bieten wir diese Scans als Add-on zu unseren Managed Secu­rity Paketen an. Ange­sichts der aktu­ellen Bedro­hungs­lage stellen wir jedoch Unter­nehmen ab sofort bis Jahres­ende 2021 auch den reinen Scan als Service bereit.

Abge­rechnet wird nach Anzahl der aktiven IPs, die gescannt wurden. Die Kosten sind davon unab­hängig, ob nur einen Scan durch­ge­führt wird oder bis zum Jahres­ende noch weitere Scans ange­stoßen werden. Zu Ende Dezember kann jeder Kunde entscheiden, ob die Scans wieder deak­ti­viert werden oder in Zukunft regel­mäßig, als Managed Service weiter­laufen sollen.

Wir setzen bei der Tech­no­logie auf unserer Partner Green­bone Networks, eine Ausgrün­dung des BSI, die den höchsten Sicher­heits­stan­dards folgt und streng nach DSGVO arbeitet. Für Log4j hat Green­bone schon früh spezi­elle Such­filter bereit­ge­stellt, um Systeme schnell nur auf diese Lücke zu scannen. So können Kunden, die dieses Angebot bereits als Managed Service nutzen, zügig fest­stellen, ob sie betroffen sind und wo gepatcht werden müsste.

 

Wenn Sie Hilfe benö­tigen bei der Einschät­zung Ihrer Bedro­hungs­lage, wenden Sie sich bitte umge­hend an uns.

Weitere Infor­ma­tionen des BSI dazu:

BSI – Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik – Version 1.4: Kriti­sche Schwach­stelle in log4j veröffentlicht