K-iS Security Advisory 2021-011 – Kritische Schwachstelle in Log4J (CVE-2021-44228)

Pünktlich zum Abschluss eines Jahres, welches die Betreiber von IT-Systemen/IT-Infrastrukturen aufgrund äußerst kritischer Schwachstellen in Atem gehalten hat, wurde am Freitag, den 10.12.2021, eine weitere kritische Schwachstelle veröffentlicht, welche bereits aktiv ausgenutzt wird.

Die enorm beliebte Protokollierungsbibliothek für Java-Anwendungen Log4J [1] enthält eine Schwachstelle, die es ermöglicht Systeme zu kompromittieren. Entwickelt wird diese von der Apache Software Foundation [2]. Aufgrund der Beliebtheit stellt sich nicht die Frage „Welche Systeme sind betroffen?“, sondern „Welche Systeme sind nicht betroffen?“. Offiziell wird diese Schwachstelle unter CVE-2021-44228 geführt. Das Bundesamt für Sicherheit in der Informationstechnologie (kurz: BSI) hat diese Schwachstelle mit der höchsten Warnstufe „4/Rot“ versehen [4]. Informationen sind in dem dazugehörigen Dokument des BSI zu finden [5].

Aufgrund der Vielzahl von betroffenen Systemen und den damit verbundenen Aufwänden für Absicherungsmaßnahmen sollten aus dem WAN erreichbare Systeme mit höherer Priorität als interne Systeme behandelt werden.

Folgende Vorgehensweise wird durch das K-iS Systemhaus empfohlen.

  1. Schwachstellenanalyse aus dem WAN erreichbarer IT-Systeme und Durchführung entsprechender Maßnahmen.
    • System betroffen und Updates verfügbar: Updates installieren
    • System betroffen und Workaround verfügbar: Workaround umsetzen und nach Erscheinen von Updates diese installieren
    • System betroffen und weder Workaround noch Update verfügbar: Erreichbarkeit des Systems aus dem WAN unterbinden
  2. Interne Systeme auf Basis der bereitgestellten Listen [6,7] identifizieren und entsprechende Maßnahmen umsetzen.
    • System betroffen und Updates verfügbar: Updates installieren
    • System betroffen und Workaround verfügbar: Workaround umsetzen und nach Erscheinen von Updates diese installieren
    • System betroffen und weder Workaround noch Update verfügbar: Interne Erreichbarkeit des Systems auf ein Minimum reduzieren

Gerne unterstützen wir Sie bei der Analyse Ihrer Systeme und der Umsetzung von Maßnahmen. Melden Sie sich dazu bitte bei unserem Support per Mail (support@k-is.com) oder telefonisch (Deutschland: +49 271 31370-30 (Siegen) oder +49 6761 9321-55 (Simmern) | Schweiz: +41-55-536-1020) und vereinbaren einen zeitnahen Termin.


Weiterführende Links (Stand: Montag, 13.12.2021):

[1] https://logging.apache.org/log4j/2.x/index.html

[2] https://logging.apache.org

[3] https://nvd.nist.gov/vuln/detail/CVE-2021-44228

[4] https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html;jsessionid=D91E76B7CCEADA74DC34FDCFB7CAB727.internet082

[5] https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=6

[6] https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

[7] “References to Advisories, Solutions, and Tools” unter https://nvd.nist.gov/vuln/detail/CVE-2021-44228