Wie vor kurzem bekannt geworden ist, wurde eine kritische Sicherheitslücke im Java
Logging-Modul log4j (Log4Shell) entdeckt und wird inzwischen aktiv für Angriffe
ausgenutzt. Diese Lücke kann von Angreifern in veröffentlichten Services ermittelt und
beispielsweise für Ransomware-Angriffe ausgenutzt werden. Lösungen, die über diese
Sicherheitslücke verfügen, aber nicht aus dem Internet erreichbar sind, müssen
trotzdem als gefährdet angesehen werden, da eine Kompromittierung möglich ist.
Bin ich betroffen?
Das betroffene Modul wird in einer Vielzahl kommerzieller und nicht kommerzieller
Anwendungen verwendet und ist nach außen meist nicht erkennbar. Dies kann sich
von der Firmware für Firewalls oder Telefonanlagen bis zum PDF-Drucker erstrecken.
Ob eine Ihrer genutzten Anwendungen betroffen ist, kann letztendlich nur der
Hersteller selbst beantworten. Viele Hersteller haben hierzu Statements und Listen auf
Ihren Webseiten veröffentlicht, um Kunden zu informieren, ob das betroffene Modul
verwendet wird und ob gegebenenfalls Updates verfügbar sind. Ein guter
Ausgangspunkt hierfür ist die folgende Liste, welche die Informationen vieler Hersteller
konzentriert zusammengefasst hat:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Wie kann man sich schützen?
Prüfen Sie, ob Ihre Anwendungen und Systeme betroffen sind und aktualisieren Sie
auf aktuelle Firmwares und Softwareversionen. Hierbei kann ein CVSS Schwachstellenscanner
mit aktuellem Bedrohungsfeed ebenfalls nützlich sein, um
betroffene Produkte zu finden, wobei man sich hierauf alleine nicht verlassen sollte.
Sollten Sie ein EDR haben, kann dies ebenfalls hinzugezogen werden. Die Hersteller
der meisten Produkte haben entsprechende Abfragen bereits veröffentlicht.
Viele aktuelle Produkte zum Endpointschutz können in den Modulen zur
Verhaltenserkennung inzwischen Kommunikationsmuster erkennen und blockieren, die
dem Angriffsschema entsprechen. Firewallhersteller versorgen ihre Systeme ebenfalls
mit aktuellen IPS-Signaturen, um die Angriffe zu erkennen, bevor sie das System
erreichen. Achten Sie darauf, dass diese Features bei Ihnen aktiv und korrekt
eingestellt sind.
Eine auführliche Erläuterung des BSI zum Sachverhalt finden Sie hier.
Sollten Sie Fragen haben, oder Support benötigen, kontaktieren Sie die Experten der Infraforce gerne per E-Mail oder Telefon.