Neo One Breaking News.
Gravierende Sicherheitslücke / kritische Schwachstelle gefährdet einen grossen Teil des Internets.
Problemstellung
Eine neue Sicherheitslücke versteckt sich in einem weit verbreiteten Java Framework Log4j. Die Sicherheitslücke basiert auf einem sehr weit verbreiteten Software-Schnipsel und ist vergleichsweise einfach, um von Hackern ausgenutzt zu werden.
Wen betrifft diese Sicherheitslücke?
Alle Anbieter, Hersteller, Programmierer, Entwickler sowie potenziell sämtliche im Zusammenhang stehende Kundenumgebungen, die das Logging über das Java Open-Source-Framework Log4j betreiben.
Was genau ist Log4j?
- Log4J ist ein Framework zum Loggen von Anwendungsmeldungen in Java. Innerhalb vieler Open-Source- und kommerzieller Softwareprodukte hat es sich über die Jahre zu einem De-facto-Standard entwickelt.
- Log4j gilt als Vorreiter für andere Logging-Frameworks, auch in anderen Programmiersprachen.
Wie hoch ist die Gefahr?
- Sehr hoch
- Auch die Schweizer Bundesbehörden GovCert haben die Gefahr als höchst alarmierend eingestuft
- Weltweit wird nicht selten die Gefahrenskala 10 von 10 genannt
- Alarmierende Situation
Neo One ICT Systemtechnik-Kunden müssen sich geschäftlich um nichts weiteres kümmern.
Die von Neo One direkt betreuten ICT-systemtechnischen Infrastrukturen und Serversysteme sind nicht betroffen. Letzte Qualitätssicherungen sind weiter im Gange. Drittsysteme, welche nicht unter der direkten Betreuung von Neo One stehen (Software-Kernapplikationen, externe Drittanbieter-Software, z.B. externe Webserver (Hostings) und Onlineshops, externe Cloud-Dienste und/oder Weitere…), müssten direkt mit den zuständigen Lieferanten geklärt werden.
Was müssen Unternehmen und deren IT-Verantwortlichen tun?
- Prüfen, ob interne Logging Produkte auf Log4j aufgebaut sind
- Vulnerability Scanner mit neustem Update versehen und Applikation auf Schwachstelle prüfen
- Logfiles auf Auffälligkeiten prüfen
- System isolieren
- Alle Kausalitäten technisch überprüfen
- Backups sicherstellen, aus der Cloud offline sichern
- Wie immer hoch aktuelle Systeme betreiben
- Regelmässige Wartungen und Patches durchführen
- Kommende Patches von grossen Herstellern sehr schnell einspielen
Was müssen Privatpersonen beachten?
- Leider können Privatpersonen nicht viel gegen diese Sicherheitslücke tun – die Gefahr für Privatpersonen besteht hauptsächlich in Cloud-Accounts, wie z.B. Apple iCloud, Amazon, Twitter oder anderen möglichen Cloud-Diensten.
- Wichtig ist, dass Sie Backups erstellen, respektive die alten Backups sehr gut aufbewahren (am besten lokal, ausserhalb von Cloud-Anbietern)
- Ebenfalls wichtig ist, dass Sie offizielle Herstellerupdates immer sofort installieren, die Systeme aktuell halten, gerade jetzt, wenn neue Updates kommen.
- Aktuell ist unbekannt, ob Daten abgegriffen wurden – bleiben Sie jedoch stets wachsam und halten Sie auch Daten in der Cloud stets verschlüsselt!
Technische Details
- Die Schwachstelle (CVE-2021-44228) wird auch Log4Shell genannt.
- Log4j hat den Zweck, sämtliche Aktivitäten des Programmes zu protokollieren „auch loggen genannt“.
- Das ist wichtig für Softwareentwickler, um die Funktionen zu prüfen, Probleme zu analysieren, das Produkt zu managen.
- Genau hier liegt nun die Grundproblematik der Log4j-Sicherheitslücke.
Wir wünschen weiterhin viel Erfolg sowie beste Gesundheit und hoffen, wir konnten Sie optimal betreuen und informieren…
Bleiben Sie virtuell und physisch gesund!
Ihr Neo One Team.
