Wichtiger Sicherheitshinweis:

Eine Schwachstelle in dem Open Source Modul namens log4j stellt zurzeit eine sehr hohe Bedrohung dar. Das BSI hat die Warnstufe ROT ausgerufen und Sie überprüfen gerade sicher Ihre Systeme, inwieweit diese Libary überall verwendet wird.

Hier zum vollständigen BSI-Artikel!

Um Sie hierbei bestmöglich zu unterstützen, haben wir Ihnen eine Übersicht unserer Hersteller erstellt. Bitte beachten Sie, dass es sich hierbei um eine Momentaufnahme handelt, die sich jederzeit wieder ändern kann. Daher empfehlen wir Ihnen, die Webseiten der jeweiligen Hersteller aktiv im Auge zu behalten.

Betroffene Hersteller und Produkte:

Folgende Hersteller und Produkte sind von der Sicherheitslücke betroffen. Bitte beachten Sie unbedingt die weiterführenden Informationen hinter den angegebenen Links bzw. auf den Webseiten der Hersteller (sofern vorhanden).

macmon

• NAC: Fix für 5.28.2.2 ist verfügbar
• SDP: ist NICHT betroffen

Sophos

• Sophos Mobile EAS Proxy (Standalone Proxy betroffen): Update 9.7.2 kann heruntergeladen werden: https://docs.sophos.com/central/Mobile/help/de-de/esg/Sophos-Mobile/tasks/DownloadExtProxy-1.html
• Sophos Cloud Optix: betroffen aber patched von Sophos am 10. Dezember

Zusätzliche Infos von Sophos: https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce

Ipswitch/Progress

• WhatsupGold & MoveIt sind NICHT betroffen
• Log Management“ bei WhatsUpGold ist ElasticSearch betroffen, welche das Zusatzfeature in WhatsupGold implementiert
• Bestimmrte Komponenten von Openedge betroffen – Mehr Informationen: https://knowledgebase.progress.com/articles/Knowledge/Is-OpenEdge-vulnerable-to-CVE-2021-44228-Log4j

Zusätzliche Informationen zu ElasticSearch: https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476

Ruckus / Commscope

• Download Security Advisory von Ruckus Stand 16.12
• FlexMaster – In Prüfung
• Ruckus Analystics – In Prüfung
• Ruckus Cloud – In Prüfung
• SCI – In Prüfung
• SmartZone & Virtual SmartZone: Sind betroffen in Version 5.x & 6.x – Patches sind in Arbeit ( Stand 16.12)
• SmartZone & Virtual SmartZone FIPS: Sind betroffen – Patches sind in Arbeit

Ruckus hat angekündigt, dass im Laufe des 17.12 der Patch für den SZ kommen soll. Weitere Informationen wird es dann im Security Bulletin geben:  https://support.ruckuswireless.com/security_bulletins/313

Paessler

• PRTG selber nicht betroffen – ITops-Board, welches auf ElasticSearch baut, gefährdet

Zusätzliche Informationen von Paessler: https://kb.paessler.com/en/topic/90213-is-prtg-affected-by-cve-2021-44228

OpenEdge

• Bestimmte Komponeten sind betroffen

Zusätzliche Informationen von OpenEdge: https://knowledgebase.progress.com/articles/Knowledge/Is-OpenEdge-vulnerable-to-CVE-2021-44228-Log4j

Nicht betroffene Hersteller und Produkte

• Allegro Packets
• Asteas/IACBOX
• Barracuda
• Extreme Networks CloudIQ & HiveManager
• Kentix
• Mobotix
• Nutanix
• Paessler

Handlungsempfehlungen (Quelle: Sophos)

1. ISOLIEREN – Dienste ohne Absicherung vom Internetzugriff trennen

2. MINIMIEREN – Patchen aller log4j-Instanzen (>=2.15/2.16)

• JNDI-Lookups verhindern
• „log4j2.formatMsgNoLookups=true“ (möglicherweise nicht ausreichend)
• Laden der JndiLookup-Klasse verhindern (suchen und löschen)
• Ausgehenden Verkehr (von Servern) einschränken

3. MONITOREN – Mit XDR nach Anzeichen eines Angriffes suchen

• Sophos XDR Detection (CoinMiner, Linusx Bots,…)

4. AKTIVE VERTEIDIGUNG – Im Fall eines aktiven Angriffs mit Rapid Response

• https://www.sophos.com/de-de/products/managed-threat-response/rapid-response?source=98304-20835
• Schutzniveau erhöhen und kontinuierlich/permanent XDR oder MDR nutzen!
• Beispielsweise Sophos Managed Threat Responce = MTR

Welche Werkzeuge habe ich noch zur Verfügung?

1. Allgemein

• Extern erreichbare Services / Zugriff ausschalten
• Aktuelle Firmware/Software/Patch einspielen
• Hersteller der Geräte/Software/Services kontaktieren
• Profis zu Rate ziehen, die auf diese Verwundbarkeit prüfen können, z.B für Iot
• -> Es reicht nicht nur eine Methode (User Agent) zu testen, sondern auch X-Forwarded-For, X-Api,…

2. Windows – statt zu suchen gleich fixen?

• setx „LOG4J_FORMAT_MSG_NO_LOOKUPS“ „true“ /M
• Service neustarten oder Reboot

3. Softwareverzeichnis des NL CSC (Zusammenarbeit mit dem BSI!)

• https://github.com/NCSC-NL/log4shell/tree/main/software