Cybersecurity
Log4Shell Schwachstelle
Kritische Sicherheitslücke in weit verbreiteter Protokollierungsbibliothek Log4j (CVE-2021-44228)
Ihr Ansprechpartner
Tobias Gröller
Projektleitung
ITES informiert über kritische Sicherheitslücke Log4Shell
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Warnstufe Rot ausgerufen und die IT-Bedrohungslage durch die „Log4 Shell“ Schwachstelle in der Protokollierungsbibliothek Log4j als extrem kritisch eingestuft.
Log4j ist eine weit verbreitete Protokollierungsbibliothek für Java-Anwendungen. Die Programmroutine hat sich als Standard-Logging-Methode bei Softwareherstellern etabliert und wird konkret dazu verwendet, Protokolldaten einer Anwendung zu erzeugen.
Genau in dieser Protokollierungsbibliothek ist eine Sicherheitslücke entdeckt worden, die vom BSI inzwischen als kritisch eingestuft wird. Durch die Schwachstelle ist es Angreifern gegebenenfalls möglich, auf dem Zielsystem einen eigenen Programmcode auszuführen und so den Server zu kompromittieren. Die Schwachstelle kann nicht nur zum Nachladen weiterer Schadsoftware genutzt werden, sondern auch für die Offenlegung von vertraulichen Daten.
Welche Systeme sind betroffen?
Da es aktuell noch keine vollständige Liste aller Produkte gibt, die diese Bibliothek in einer verwundbaren Version einsetzen, haben wir umgehend bei unseren Systempartnern angefragt, ob die von uns eingesetzten Systeme von der Schwachstelle betroffen sind.
Nach Informationen unserer Hersteller gibt es nach momentanem Kenntnisstand folgenden Status bei den Applikationen:
| Hersteller | Betroffen | Hinweise |
| Alcatel-Lucent Enterprise | Teilweise betroffen | Betroffene Kunden wurden bereits von uns kontaktiert |
| Audiocodes | Nicht betroffen | (SwyxConnect) Mediagateways / Mediapacks |
| Ascom | Nicht betroffen | DECT 800 |
| Axis | Nicht betroffen | AXIS Stellungnahme |
| C4B | Nicht betroffen | C4B Stellungnahme |
| Dallmeier | Nicht betroffen | Dallmeier Stellungnahme |
| Detectomat | Nicht betroffen | |
| EFE | Nicht betroffen | |
| ekey | Nicht betroffen | |
| Hekatron | Nicht betroffen | Hekatron Stellungnahme |
| Kentix | Nicht betroffen | Kentix Stellungnahme |
| Lancom | Nicht betroffen | Lancom Stellungnahme |
| Microsoft | Nicht betroffen | Microsoft Security Response Center |
| Mobotix | Nicht betroffen | Mobotix Stellungnahme |
| NewVoice | Nicht betroffen | NewVoice Stellungnahme |
| Paessler | Nicht betroffen | Paessler Stellungnahme |
| Securepoint | Nicht betroffen | Securepoint Stellungnahme |
| Senstar | Nicht betroffen | Senstar Stellungnahme |
| Serinus | Nicht betroffen | Serinus Stellungnahme |
| Simons Voss | Nicht betroffen | |
| Sonicwall | Teilweise betroffen | Sonicwall Stellungnahme |
| Telenot | Nicht betroffen | |
| Thomas Krenn | Teilweise betroffen | Thomas Krenn Stellungnahme |
| VMWare vSphere ESXi | Betroffen | VM Ware Info |
| Voicecom | Nicht betroffen | Voicecom Stellungnahme |
| Yealink | Nicht betroffen | Yealink Info |
Unsere Handlungsempfehlung
Das BSI stuft die aktuelle IT-Bedrohungslage für Geschäftsprozesse und Anwendungen als extrem kritisch ein (Stufe „Rot“). Aus diesem Grund empfehlen wir Ihnen, die Reaktions- und Detektionsfähigkeit Ihrer IT kurzfristig geeignet zu erhöhen, um Ihre Systeme angemessen überwachen bzw. reagieren zu können.
Server sollten generell nur solche Verbindungen (insbesondere in das Internet) aufbauen dürfen, die für den Einsatzweck zwingend notwendig sind. Andere Zugriffe sollten durch entsprechende Kontrollinstanzen wie Paketfilter und Application Layer Gateways unterbunden werden.
Ein Update auf die aktuellste Version von Log4j sollte in allen Anwendungen sichergestellt werden. Sollten für Ihre Systeme noch keine Updates vorliegen bzw. der Updatestatus noch unklar sein, schalten Sie die betroffenen Systeme ab oder deaktivieren Sie den Zugriff aus dem Internet.
Die laufend aktualisierte Version der Cybersicherheitswarnung zu der Log4Shell Schwachstelle CVE-2021-44228 finden Sie auf der Webseite des BSI.
Sollten Sie noch weitere Fragen haben, stehen wir Ihnen gern zur Verfügung.
