Ankündigungen

Log4j: Das BSI warnt vor großer Bedrohung durch IT-Sicherheitslücke

Veröffentlicht 13.12.2021
Autor indasys
Extrem kritische Bedrohungslage

Im Untermodul für Java, der sehr weit verbreiteten Webserver-Software Apache, gibt es eine Schwachstelle, die über die Protokollierung des Webservers einen Zugriff auf die Befehle des darunterliegenden Systems zulässt. Darüber kann weitere Schadsoftware auf die Systeme nachgeladen werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zwischenzeitlich die am Freitag bekannt gewordene Sicherheitslücke auf die höchste Warnstufe angehoben. 

Die Situation ist somit als absolut kritisch eingestuft und jeder Kunde ist dringend angehalten zu handeln. 

Die Sicherheitslücke befindet sich auf Applikationsebene und nicht auf Betriebssystemebene, daher lässt sich diese Lücke nicht durch einfaches Updaten des Betriebssystems schließen und betrifft somit unter Umständen auch aktuell gepatchte Betriebssysteme. Für vereinzelte Services gibt es herstellerseits Empfehlungen zu präventiven Konfigurationsanpassungen, die wir in Absprache mit unseren Kunden individuell vornehmen können. 

Die indasys ist bereits seit Freitag kontinuierlich dabei, ihre eigenen Systeme auf Vorhandensein der Sicherheitslücke zu prüfen und betroffene (Teil-)Dienste, auch präventiv, vom Internet zu nehmen. Über eventuelle Einschränkungen in der Verfügbarkeit von Diensten informieren wir Sie als Kunden auf separatem Wege. 

Firewalls können das Sicherheitsproblem leider ebenfalls nicht beheben, sondern lediglich die Auswirkung abmildern, indem z.B. Verkehr ins Internet blockiert wird. 

Wir stehen gerne technisch, sowie methodisch beratend und aktiv helfend zur Verfügung. Kunden sollten sich bei Bedarf an unsere Serviceannahme, Telefon +49 711 89 66 59 -119 oder E-Mail service@indasys.de, wenden. 

Nähere Informationen erhalten Sie auch vom BSI: Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228) (bund.de) 

Weitere Informationen

Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps | heise online (ampproject.org)

Log4j – Apache Log4j Security Vulnerabilities

The Internet’s biggest players are all affected by critical Log4Shell 0-day | Ars Technica

Log4j RCE CVE-2021-44228 Exploitation Detection · GitHub

BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-11 1448 UTC · GitHub

Ihr Ansprechpartner:
Porträt von Sebastian Schwab
Sebastian Schwab
Jetzt Infos einholen:
Phone +49 711 896659 138
Email Kontakt per Email