Wichtiger Sicherheitshinweis:
Eine Schwachstelle in dem Open Source Modul namens log4j stellt zurzeit eine sehr hohe Bedrohung dar. Das BSI hat die Warnstufe ROT ausgerufen und Sie überprüfen gerade sicher Ihre Systeme, inwieweit diese Libary überall verwendet wird.
Hier zum vollständigen BSI-Artikel!
Um Sie hierbei bestmöglich zu unterstützen, haben wir Ihnen eine Übersicht unserer Hersteller erstellt. Bitte beachten Sie, dass es sich hierbei um eine Momentaufnahme handelt, die sich jederzeit wieder ändern kann. Daher empfehlen wir Ihnen, die Webseiten der jeweiligen Hersteller aktiv im Auge zu behalten.
Betroffene Hersteller und Produkte:
Folgende Hersteller und Produkte sind von der Sicherheitslücke betroffen. Bitte beachten Sie unbedingt die weiterführenden Informationen hinter den angegebenen Links bzw. auf den Webseiten der Hersteller (sofern vorhanden).
macmon
- NAC: Fix für 5.28.2.2 ist verfügbar
- SDP: ist NICHT betroffen
Sophos
- Sophos Mobile EAS Proxy (Standalone Proxy betroffen): Update 9.7.2 kann heruntergeladen werden: https://docs.sophos.com/central/Mobile/help/de-de/esg/Sophos-Mobile/tasks/DownloadExtProxy-1.html
- Sophos Cloud Optix: betroffen aber patched von Sophos am 10. Dezember
Zusätzliche Infos von Sophos: https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce
Ipswitch/Progress
- WhatsupGold & MoveIt sind NICHT betroffen
- Log Management“ bei WhatsUpGold ist ElasticSearch betroffen, welche das Zusatzfeature in WhatsupGold implementiert
- Bestimmrte Komponenten von Openedge betroffen – Mehr Informationen: https://knowledgebase.progress.com/articles/Knowledge/Is-OpenEdge-vulnerable-to-CVE-2021-44228-Log4j
Zusätzliche Informationen zu ElasticSearch: https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
Ruckus / Commscope
- Download Security Advisory von Ruckus Stand 16.12
- FlexMaster – In Prüfung
- Ruckus Analystics – In Prüfung
- Ruckus Cloud – In Prüfung
- SCI – In Prüfung
- SmartZone & Virtual SmartZone: Sind betroffen in Version 5.x & 6.x – Patches sind in Arbeit ( Stand 16.12)
- SmartZone & Virtual SmartZone FIPS: Sind betroffen – Patches sind in Arbeit
Ruckus hat angekündigt, dass im Laufe des 17.12 der Patch für den SZ kommen soll. Weitere Informationen wird es dann im Security Bulletin geben: https://support.ruckuswireless.com/security_bulletins/313
Paessler
- PRTG selber nicht betroffen – ITops-Board, welches auf ElasticSearch baut, gefährdet
Zusätzliche Informationen von Paessler: https://kb.paessler.com/en/topic/90213-is-prtg-affected-by-cve-2021-44228
OpenEdge
- Bestimmte Komponeten sind betroffen
Zusätzliche Informationen von OpenEdge: https://knowledgebase.progress.com/articles/Knowledge/Is-OpenEdge-vulnerable-to-CVE-2021-44228-Log4j
Nicht betroffene Hersteller und Produkte
- Allegro Packets
- Asteas/IACBOX
- Barracuda
- Extreme Networks CloudIQ & HiveManager
- Kentix
- Mobotix
- Nutanix
- Paessler
Handlungsempfehlungen (Quelle: Sophos)
1. ISOLIEREN – Dienste ohne Absicherung vom Internetzugriff trennen
2. MINIMIEREN – Patchen aller log4j-Instanzen (>=2.15/2.16)
- JNDI-Lookups verhindern
- „log4j2.formatMsgNoLookups=true“ (möglicherweise nicht ausreichend)
- Laden der JndiLookup-Klasse verhindern (suchen und löschen)
- Ausgehenden Verkehr (von Servern) einschränken
3. MONITOREN – Mit XDR nach Anzeichen eines Angriffes suchen
- Sophos XDR Detection (CoinMiner, Linusx Bots,…)
4. AKTIVE VERTEIDIGUNG – Im Fall eines aktiven Angriffs mit Rapid Response
- https://www.sophos.com/de-de/products/managed-threat-response/rapid-response?source=98304-20835
- Schutzniveau erhöhen und kontinuierlich/permanent XDR oder MDR nutzen!
- Beispielsweise Sophos Managed Threat Responce = MTR
Welche Werkzeuge habe ich noch zur Verfügung?
1. Allgemein
- Extern erreichbare Services / Zugriff ausschalten
- Aktuelle Firmware/Software/Patch einspielen
- Hersteller der Geräte/Software/Services kontaktieren
- Profis zu Rate ziehen, die auf diese Verwundbarkeit prüfen können, z.B für Iot
- -> Es reicht nicht nur eine Methode (User Agent) zu testen, sondern auch X-Forwarded-For, X-Api,…
2. Windows – statt zu suchen gleich fixen?
- setx „LOG4J_FORMAT_MSG_NO_LOOKUPS“ „true“ /M
- Service neustarten oder Reboot
3. Softwareverzeichnis des NL CSC (Zusammenarbeit mit dem BSI!)
- https://github.com/NCSC-NL/log4shell/tree/main/software
PASSENDE PRODUKTE & SCHULUNGEN:
-
Seminare & Events
Werden Sie selbst zum Hacker
07. – 09. November 2022
„Lernen Sie den Feind kennen“ – und reservieren Sie sich einen Platz in unserem P&W Hacking Seminar!
-
PRTG_Events, Seminare & Events
Training: PRTG SHORT TRACK III – Cluster-Failover-Lösung
Erweiterte Sensoren & Clustering ( Dauer: 3 Stunden )
06. September 2022 | 13:00 Uhr
-
PRTG_Events, Seminare & Events
Training: PRTG SHORT TRACK II – Sensoren und Alarm
Sensoren und Benachrichtigungen ( Dauer: 3 Stunden )
23. August 2022 | 13:00 Uhr
-
PRTG_Events, Seminare & Events
PRTG SHORT TRACK IV
API Schnittstelle & Clustering ( Dauer: 3 Stunden )
11. Oktober 2022 | 13:00 Uhr