LOG4J-Sicherheitslücke: Was wir tun und Ihnen empfehlen
Wer ist betroffen?
Wie zuvor erwähnt, die Schwachstelle, die mittlerweile auch Log4Shell genannt wird, ist weit verbreitet und im Zweifelsfall sollten Sie davon ausgehen betroffen zu sein. Hier findet sich eine Liste mit betroffenen Applikationen, die ständig erweitert wird. Darauf stehen illustre Namen wie AWS, apache, VMWare, SAP und Salesforce. Aber auch Hersteller von Security Produkten aus dem Portfolio der TO. So zum Beispiel: Cisco, Elastic, Fortinet, Logrhythm und ZScaler.
Was sollten Sie tun?
Der erste Schritt sollte sein, die betroffenen Systeme zu identifizieren. Beginnen Sie dabei mit öffentlich erreichbaren Systemen und wandern Sie dann nach intern zu den kritischen Systemen. Prüfen Sie, ob die Systeme verwundbar sind, indem Sie sich auf den entsprechenden Herstellerseiten informieren.
Die gute Nachricht: Clientsysteme sind in aller Regel nicht betroffen.
Die schlechte Nachricht: Alles andere ist mutmaßlich betroffen: Firewalls, Server, Infrastrukturkomponenten, Remotewartungsinterfaces, etc.
Sollten wir diese Systeme für Sie betreiben, dann sind wir bereits damit beschäftigt, die notwendigen Schritte durchzuführen!
Nahezu alle Hersteller haben bereits eine Stellungnahme zur Betroffenheit ihrer Systeme getroffen. Einige bieten bereits Patches an.
Wichtig: Es existieren diverse Vorschläge, wie zum Beispiel das Filtern von bestimmten Strings, um diese Angriffe zu verhindern. Diese Mechanismen können Angriffe zwar abwehren, aber eben nicht alle Varianten. Sie bieten daher keinen verlässlichen Schutz.
Systeme, die noch nicht durch ein Update gepatcht werden können, sollten bis dahin vom Internet getrennt werden.
Erkennung der Schwachstelle
Erste Anlaufstelle sind natürlich die Hersteller.
Informationen von Herstellern
Hier finden Sie Informationen von Herstellern, die TO ihren Kunden anbietet. Diese Liste wird sukzessive erweitert:
- Checkpoint – nicht betroffen (Stand 13.12.2021 – 09:20):
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk176865&partition=General&product=IPS - SOPHOS – einige Systeme betroffen, Patches tlw. verfügbar (Stand 13.12.2021 09:20)
https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce - FORTINET – Vielzahl Systeme betroffen, Patches noch nicht verfügbar (Stand 13.12.2021 09:20)
https://www.fortiguard.com/psirt/FG-IR-21-245 - Barracuda – noch keine Information (Stand 13.12.2021 – 09:20)
- Logrhythm – noch keine Information (Stand 13.12.2021 – 09:20)
- Logpoint – noch keine Information (Stand 13.12.2021 – 09:20)
Update 13.12.2021 – 11:15
- MACMON – Betroffen:
In Kürze werden wir eine neue Version 5.28.2.2 veröffentlichen, welche die Schwachstelle in Log4j schließt und empfehlen damit dringend ein Update durchzuführen. - SOPHOS – Patches verfügbar – Sophos Mobile EAS Proxy betroffen (Stand 13.12.2021 11:20)
https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce
Update 13.12.2021 – 11:30
- CISCO – einige Systeme sind betroffen – Patches Teilweise verfügbar (Stand 13.12.2021 – 11:30)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd#vp - SECUDOS – Qiata: Nicht betroffen
https://www.secudos.de/news/cve-2021-44228-domos-nicht-betroffen
Update 13.12.2021 – 12:15
- auralis – nicht betroffen
https://auralis.de/aktuelles/auralis-nicht-von-log4shell-betroffen/ - ergon AIRLOCK WAF – Release 7.4 und 7.5 liefert eine Filterergänzung
- ergon AIRLOCK IAM – teilweise betroffen
Fix ist in Bearbeitung
Update 13.12.2021 – 14:45
- NoMachine – nicht betroffen
- Lucy Security – nicht betroffen
Update – Maßnahmen 13.12.2021 – 14:45
Aufgrund vieler Rückfragen haben wir hier noch eine ergänzende Maßnahme:
Alle Systeme, die aus dem Internet erreichbar sind (z.B. Firewalls, Webserver, Mailserver, Gateways, etc.) sollten grundsätzlich nur eingeschränkt aktiv ins Internet kommunizieren dürfen. Es genügt in der Regel der Zugriff auf Update-Server und natürlich Nutzverkehr.
Update – Verwundbarkeit erkennen 13.12.2021 – 14:45
Wir bieten ihnen an, ihre öffentlich erreichbaren Systeme auf diese Schwachstelle hin zu überprüfen. So können sie:
- sicherstellen, dass die Schwachstelle beseitigt wurde oder
- verifizieren, ob Ihre Systeme verwundbar sind
Wenn Sie Interesse haben, wenden Sie sich dazu bitte an vertriebsinnendienst@to.com
Update 13.12.2021 – 16:45
- Mateso PasswordSafe– nicht betroffen
Update 14.12.2021 – 7:45
- Logpoint SIEM – nicht betroffen
https://www.logpoint.com/en/blog/status-on-log4j-vulnerability-in-logpoint/
- MACMON – Betroffen:
Version 5.28.2.2 veröffentlicht und für Partner verfügbar
Update 15.12.2021 – 8:30
- Checkpoint – nicht betroffen
Die erste Version der Einleitung sprach von Checkpoint – mittlerweile hat der Hersteller mitgeteilt, dass die Produkte nicht betroffen sind.
Check Point ist nicht betroffen, auch wenn das angeteasert wird.
Bei Sophos ist es im Wesentlichen der EAS Standalone Proxy, Update ist verfügbar.
Warum eine Log-Bibliothek Code ausführt wird sich mir nie erschließen, auch wenn es dafür Gründe gibt.
Danke für das Feedback. Ich habe den Satz im Beginn des Artikels angepasst und ein Update dazu geschrieben.