Info zu Log4j
Was ist Log4j?
Log4j ist eine Open-Source-Bibliothek die Protokollierung bereitstellt. In Unternehmenssoftware und Cloud-Diensten findet die Bibliothek oft Verwendung. Besonders Java-Anwendungen und -Dienste sind gefährdet. Log4Shell ermöglicht es einem nicht authentifizierten Benutzer, Code remote auszuführen. Die Schwachstelle gilt insgesamt als einfach auszunutzen und hochgefährlich. Die Protokollierungsbibliothek wird in Java-Frameworks wie Apache Druid, Apache Struts 2 und Apache Solr eingesetzt. Weltweit versuchen Cyberangreifer die kürzlich entdeckte Schwachstelle mit hohem Schweregrad in Apache Log4j auszunutzen. Aktuell sind laut verschiedener Quellen bereits kleinere und größere Wellen bekannt, in denen versucht wird, schädliche Software über die Schwachstelle in Systeme einzuschleusen.
Folgende Angriffe werden derzeit beobachtet:
- Ransomware (unter anderem die neue Ransomware-Familie namens Khonsari)
- Cobalt Strike (Fernüberwachung)
- Mirai- und Muhstik-Botnets (Bereitstellung verteilter Denial-of-Service-Angriffe (DDoS)
- Kinsing-Malware für Krypto-Mining
- Remote-Access-Trojaner Orcus
- Reverse-Bash-Shells für zukünftige Angriffe
- Coin-Miner-Angriffe
Häufige Folgen einer Infizierung sind:
- Backdoors, Datendiebstahl und (Industrie-)Spionage
- Zugangsdaten werden weiterverkauft (Access-as-a-Service)
- Krypto-Mining in der IT-Infrastruktur des Unternehmens
- Server und Clients sind Teil von Botnetzen
Sicherheitsforscher von Checkpoint geben an, dass mehr als 44 % der Unternehmensnetzwerke weltweit anfällig für ein Log4j-Exploit sind. Hochkritisch sind hier vor allem Netzwerke, die aus dem Internet erreichbar sind.
Unsere erfahrenen IT-Security-Experten sind für Sie da!
Problematisch ist, dass nicht immer offensichtlich ist, welche Software die Bibliothek Log4j nutzt. Sie kann in unzähligen Programmen versteckt sein (indirekte Nutzung). Demzufolge muss zuerst einmal alle Software analysiert werden, ob die Bibliothek Log4j verwendet wird.
Viele Hersteller haben bereits Listen betroffener Hard- und Software veröffentlicht und bieten teilweise Patches und Workarounds, welche von uns installiert oder konfiguriert werden. Unsere erfahrenen IT-Consultants des IT-Service kooperieren mit den Herstellern aus unserem Portfolio, patchen und updaten betroffene IT-Infrastruktur unserer Kunden und schützen diese vor möglichen zukünftigen Gefahren aus dem Internet.
Möglichkeiten zur Eindämmung
- Bibliotheken der Betriebssysteme über Softwareverwaltung aktualisieren
- Verantwortung meist bei Herstellern, da Log4j in Software implementiert ist
- Patches und Updates für Hard- und Software sollten zwingend installiert werden
- um ungeprüfte Remote-Aufrufe zu verhindern, Firewall-Regeln erstellen
- Mithilfe von Firewalls Anwendungsserver isolieren
- Fernabfragen deaktivieren (Remote Lookups)
- System- und Netzwerkaktivitäten überwachen
- Angriffsfläche minimieren durch den Einsatz von niedrig privilegierten Konten (Anwendungsausführung)
Agorum:
GODYO P4:
- Unser ERP-System GODYO P4 ist von der Sicherheitslücke nicht betroffen.
HPE:
- https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=a00120086en_us
- https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbgn04215en_us
Dell:
- https://www.dell.com/support/kbdoc/de-de/000194414/dell-response-to-apache-log4j-remote-code-execution-vulnerability
- https://www.dell.com/support/kbdoc/en-us/000194372/dsn-2021-007-dell-response-to-apache-log4j-remote-code-execution-vulnerability
Fortinet:
VMware:
Veeam:
Sophos:
Microsoft:
Citrix:
NetApp:
Microfocus / DataProtector:
Broadcom:
- https://www.broadcom.com/log4j
- https://www.broadcom.com/support/fibre-channel-networking/security-advisories/brocade-security-advisory-2021-1651
Fujitsu:
Datacore
Gruppe
