Skip to the main content.

1 minute gelesen

indevis Handlungsempfehlungen zur Major Security log4j (Log4Shell) Schwachstelle

indevis Handlungsempfehlungen zur Major Security log4j (Log4Shell) Schwachstelle

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Bedrohungslage durch die kritische Schwachstelle log4j CVE-2021-44228 (Log4Shell) auf die Warnstufe ROT erhöht. Auch wir möchten Anwendern unsere Einschätzung zu dieser Schwachstelle kommunizieren und einige Handlungsempfehlungen an die Hand geben.

Die Schwachstelle CVE-2021-44228 [MIT2021] in log4j in den Versionen 2.0 bis 2.14.1 ermöglicht es Angreifern möglicherweise, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht dann, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren.

Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.

indevis Managed Services und Maßnahmen

Schon seit dem Wochenende scannt unser Security Team alle eingesetzten Produkte und Lösungen unserer Hersteller und patcht kontinuierlich sämtliche Infrastruktur-Bestandteile unserer indevis Managed Security Services. Für unsere Systeme und die Kunden unserer indevis Managed Security Services besteht keine Bedrohung mehr.

indevis Handlungsempfehlungen für Systeme in eigener Betriebsverantwortung

  1. In der Cyber-Sicherheitswarnung des BSI sind erste Maßnahmen und Mitigationen näher beschrieben, die Sie befolgen sollten: BSI-Cyber-Sicherheitswarnung Kritische Schwachstelle log4j CVE-2021-44228.
  2. Mittlerweile haben fast alle Hersteller Security Advisories veröffentlicht. Wir empfehlen, sich an verfügbaren Listen der Hersteller-Advisories zu orientieren (Achtung: keine Gewähr für Vollständigkeit) und die eigenen Systeme zu kontrollieren und upzudaten. Nachfolgend zwei verschiedene Übersichtslisten:

       https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
       https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/

    Nicht alle Hersteller sind von dieser Schwachstelle betroffen. So stuft unser Fokus-Partnerhersteller Palo Alto Networks die Auswirkungen der Schwachstelle auf die eigenen Produkte mit Severity 0 – NONE ein: https://security.paloaltonetworks.com/CVE-2021-44228
  3. Mit dem nachfolgenden Tool steht Ihnen ein vollautomatischer, genauer und umfassender Scanner zum Auffinden anfälliger log4j-Hosts zur Verfügung: https://github.com/fullhunt/log4j-scan
     

Wolfram Dorfner

Head of Marketing, indevis

Das könnte Sie auch interessieren:

Retrospektive: Was wir aus Log4j lernen können

3 minuutin luku

Retrospektive: Was wir aus Log4j lernen können

Durch die Sicherheitslücke in der Log4j-Anwendung von Java war fast jede Webapplikation ein potenzielles Ziel. Mit Patches und Workarounds haben IT-Abteilung und Security-Dienstleister die gröbsten Schäden eingedämmt. Unternehmen sollten jedoch die richtigen Schlüsse ziehen.

Managed Security Services: Von diesen 5 Mythen sollten Sie sich nicht beirren lassen

3 minuutin luku

Managed Security Services: Von diesen 5 Mythen sollten Sie sich nicht beirren lassen

Cyberangriffe nehmen zu. Auch der Mittelstand steht verstärkt im Visier der Hacker. Doch für ausreichenden Schutz zu sorgen, wird immer komplexer. Managed Security Services können Abhilfe schaffen. Wolfgang Kurz, CEO und Founder indevis, räumt mit den häufigsten Vorurteilen auf.

5 Tipps, wie Sie IT-Security-Prozesse am besten auslagern

3 minuutin luku

5 Tipps, wie Sie IT-Security-Prozesse am besten auslagern

Für angemessene IT-Sicherheit zu sorgen, wird immer aufwändiger: wachsende Bedrohungslage, immer komplere Security-Lösungen, Fachkräftemangel. Worauf Sie bei der Auslagerung von Security-Prozessen an einen spezialisierten Dienstleister achten sollten und woran Sie einen professionellen MSP erkennen, erklärt Ulrich Pfister, Head of Consulting, bei indevis.