BSI: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage – Warnstufe Rot!
Die kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer extrem kritischen Bedrohungslage. Das BSI hat daher seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft.
Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte. Die Schwachstelle ist zudem trivial ausnutzbar, ein Proof-of-Concept ist öffentlich verfügbar. Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems. Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet.
Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar. Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software-Produkten verankert. Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen. Es ist zu erwarten, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt werden.
Das BSI empfiehlt insbesondere Unternehmen und Organisationen, die in der Cyber-Sicherheitswarnung skizzierten Abwehrmaßnahmen umzusetzen. Darüber hinaus sollten die Detektions- und Reaktionsfähigkeiten kurzfristig erhöht werden, um die eigenen Systeme angemessen überwachen zu können. Sobald Updates für einzelne Produkte verfügbar sind, sollten diese eingespielt werden. Darüber hinaus sollten alle Systeme auf eine Kompromittierung untersucht werden, die verwundbar waren.
Update: 14.12.2021 – 10:02 Uhr:
Mittlerweile haben einige unserer Technologiepartner erste Informationen herausgegeben. Dieser Blogartikel wird laufend aktualisiert werden, sobald neue Informationen an uns herangetragen wurden.
- Veröffentlichung des BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=6
- HPE/Aruba
Liste der geprüften Systeme:
Nicht betroffen
https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-a00120086en_us
Betroffen
https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbgn04215en_us
HPE Product Security Vulnerability Alerts: https://www.hpe.com/us/en/services/security-vulnerability.html
- ArubaNetworks: https://www.arubanetworks.com/de/supportservices/sicherheitsmitteilungen/
- Lenovo analysiert ebenfalls aktuell all ihre Systeme und stellt alle Informationen zu diesem Thema unter diesem Link zur Verfügung! https://support.lenovo.com/us/en/product_security/LEN-76573
- Die FlashSystem Familie ist davon nicht betroffen. Alle Infos dazu findet man hier: https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/
- Fortinet: https://www.fortiguard.com/psirt/FG-IR-21-245 und https://www.fortinet.com/blog/psirt-blogs/apache-log4j-vulnerability
- Citrix: https://support.citrix.com/article/CTX335705
- Microsoft: https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/
- Commvault: https://documentation.commvault.com/v11/essential/146231_security_vulnerability_and_reporting.html
- Extreme Networks: https://extremeportal.force.com/ExtrArticleDetail?an=000100806&_ga=2.8924661.1942628706.1639384902-1261081976.1634634957
- SentinelOne: https://www.sentinelone.com/blog/cve-2021-44228-staying-secure-apache-log4j-vulnerability/
- IGEL: https://kb.igel.com/securitysafety/en/isn-2021-11-ums-log4j-vulnerability-54086712.html
- Ivanti: https://forums.ivanti.com/s/article/Apache-Log4j-Zero-Day-Vulnerability-and-Ivanti-Security-Controls-CVE-2021-44228?language=en_US
- Nutanix: https://download.nutanix.com/alerts/Security_Advisory_0023.pdf
- NetApp: https://www.netapp.com/newsroom/netapp-apache-log4j-response/
Zudem haben wir eine Herstellerliste erstellt, welche Produkte betroffen sein könnten:
- VMware: https://www.vmware.com/security/advisories/VMSA-2021-0028.html
→ Hier ist besonders der vCenter von Bedeutung. Seit heute gibt es einen offiziellen Workaround per Phyton Script. Folgender Workaround hilft: https://kb.vmware.com/s/article/87081?lang=en_US - NetApp: CVE-2021-44228 Apache Log4j Vulnerability in NetApp Products | NetApp Product Security
→ Keine nennenswerten Produkte betroffen - Nutanix: Security Advisory 23-v1.3 (nutanix.com)
→ Primär nur Prism Central betroffen - CommVault: https://documentation.commvault.com/v11/essential/146231_security_vulnerability_and_reporting.html
→ Updates sind verfügbar - Veeam: KB4254: Log4j Vulnerability (CVE-2021-44228) (veeam.com)
→ Im Moment nicht betroffen
Dieser Beitrag basiert in Teilen auf einer Pressemeldung des BSI: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html
Ihr Ansprechpartner
Sie möchten sicherstellen, dass Ihr Unternehmen für den Ernstfall ausreichend vorbereitet ist? Dann melden Sie sich jetzt für ein 30-minütiges Gespräch mit unserem Security-Experten an. Unverbindlich, unkompliziert, aber garantiert mit Mehrwert für Sie.
Schreiben Sie uns
Sie haben Fragen zu diesem Blog-Beitrag oder benötigen einen Expertenrat zu einem anderen Thema,
dann schreiben Sie uns gerne und wir melden uns bei Ihnen zurück.