Informationen zur kritischen Sicherheitslücke Log4j

Sehr geehrte Kunden, sehr geehrte Geschäftspartner,

am Wochenende veröffentlichte das BSI (Bundesamt für Sicherheit in der Informationstechnik) ein Schreiben zu einer sehr kritischen Sicherheitslücke in einer Open Source Software namens Log4j. Die Sicherheitslücke wurde mit einem Gefährdungswert 10 von 10 eingestuft. Das Schreiben finden Sie auf der Webseite des BSI unter https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3

Log4j ist ein Framework zum Protokollieren von Anwendungsmeldungen in Java. Innerhalb vieler Open-Source- und kommerzieller Softwareprodukte hat es sich über die Jahre zu einem De-facto-Standard entwickelt. Log4j gilt als Vorreiter für andere Logging-Frameworks, auch in anderen Programmiersprachen.

Aktuell versuchen Hacker, aus dem Internet erreichbare Systeme zu scannen, um die Schwachstelle aufzuspüren. Wird die Schwachstelle gefunden, kann sie genutzt werden, um uneingeschränkt Code auf dem Zielsystem auszuführen. Ein Angreifer könnte somit z.B. Kundendaten kopieren, Zugangsdaten ausspionieren oder Systeme verschlüsseln.

Das IT Sicherheitsteam der bitfire GmbH ist zusammen mit ihren Projektpartnern seit Sonntag damit beschäftigt die Sicherheitslücke zu analysieren. Kunden mit aktiven Serviceverträgen im Bereich SafeWall, Safe Client/Server Business/Premium und SafeIT werden wir nach und nach überprüfen und bei Bedarf kontaktieren.

Da die betroffene Software von sehr vielen Herstellern eingesetzt wird, sind nicht nur die von uns bei Ihnen betreuten Systeme betroffen, sondern vermutlich auch viele der Programme, die Sie im täglichen Gebrauch einsetzen.

Durch die folgenden Schritte können Sie selbst recht schnell überprüfen, ob eine von Ihnen eingesetzte Software Log4J einsetzt:
1. Öffnen Sie https://www.google.de
2. Geben sie den genannten CVE Code CVE-2021-44228 und den Namen Ihrer Software ein z.B. CVE-2021-44228 SAP
3. Wenn der Hersteller schon Informationen zu der Lücke hat, werden Sie auf seiner Webseite etwas dazu finden
4. Folgen Sie den Informationen des Herstellers und beauftragen Sie die Installation von Updates für Ihre Software
5. Sollten Sie keine Informationen finden, probieren Sie das gleiche am Folgetag und kontaktieren Sie Ihren Hersteller, ob das Log4J-Framework in seiner Software zum Einsatz kommt und ein Update notwendig ist

Hier ein paar Beispiele für Systeme, die überprüft werden sollten: ERP System, CRM System, Bankingsoftware, Zeiterfassungssoftware, Buchhaltungssoftware, Lohnabrechnungssoftware, Dokumentenmanagementsoftware, Telefoniesoftware, Videochatsoftware, usw.

Um die Sicherheit in Ihrem Netzwerk zukünftig zu erhöhen, empfehlen wir Ihnen u.a. nachfolgende Maßnahmen:
1. Managed Firewall einsetzen
2. Ihre Systeme und eingesetzte Software regelmäßig aktualisieren
3. Wechsel oder Upgrade auf Sophos Server- und Endpoint-Protection mit EDR und MTR
3. Regelmäßige Überprüfung und Funktionstest Ihrer Datensicherungsstrategie
4. Regelmäßige Überprüfung der IT Sicherheit in Ihrem Unternehmen

Für Rückfragen stehen wir Ihnen gerne zur Verfügung.

Mit freundlichen Grüßen Service-Team bitfire