Kundeninformation zu Log4j-Sicherheitslücke
Log4j ist ein Java-Framework zum Loggen von Anwendungsmeldungen. Die Programmroutine hat sich als Standard-Logging-Methode bei Softwareherstellern etabliert. Konkret wird sie dazu verwendet, Protokolldaten einer Anwendung in Logdateien zu schreiben.
Anfang Dezember machten Sicherheitsforscher auf eine Sicherheitslücke in dieser Routine aufmerksam. Die inzwischen als Schwachstelle CVE-2021-44228 betitelte Lücke wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen als Warnstufe Rot eingestuft. Die Sicherheitslücke ermöglicht es Angreifern gegebenenfalls Programmcode auf den Zielsystemen auszuführen.
Ausmaß der Bedrohungslage
Laut BSI-Pressemeldung vom 16.12.2021 ist das genaue Ausmaß der Bedrohungslage nicht abschließend feststellbar. „Nach wie vor besteht keine abschließende Klarheit darüber, welche IT-Produkte durch ‚Log4Shell‘ verwundbar sind“, so das BSI.
Welche Systeme sind betroffen?
Die Liste der potenziell gefährdeten Systeme ist ausgesprochen lang. Sie reicht von Serversystemen jeder Art, über Cloudsysteme bis hin zu Switchen und Routern. Die hohe Anzahl der möglichen Systeme macht die aktuelle Gefahrenlage so unübersichtlich.
Was ist zu tun?
Der Lackmann Krisenstab arbeitet mit Hochdruck an der Analyse sämtlicher IT-Systeme und ist in engem Austausch mit den Partnern. Vorrangiges Ziel ist es auf allen Systemen die betroffenen Programm-Bibliotheken auszutauschen. Durch ein engmaschiges Monitoring beobachten wir, ob die Schwachstelle schon ausgenutzt wurde.
Nächste Schritte
Derzeit gehen wir davon aus, dass unsere Systeme abgesichert sind. Unser Monitoring hat aktuell noch keine Ausnutzung der Schachstelle registiert. Über die aktuelle Entwicklung halten wir Sie hier auf dem Laufenden.
Links
IT-Security Bulletin der VIVAVIS: Bleiben Sie informiert!
Sie haben Fragen?
Für Rückfragen kommen Sie gerne auf uns zu.
