Die am vergangenen Samstag im „Log4J“-Framework festgestellte Sicherheitslücke aus dem Java-Umfeld zieht weite Kreise. Wir möchten in diesem Schreiben, ergänzend zu unseren drei Newslettern, welche an alle ELO Fachadministrator*innen versandt wurden, Stellung zur aktuellen Thematik nehmen:

„Log4J“ ist eine weit verbreitete Bibliothek (Komponente für Softwareprodukte) für Java-Anwendungen, die zur Umsetzung einer bestimmten Funktionalität (Schreiben von Ereignisdateien; engl. log), in vielen Programmen integriert ist. Da „Log4J“ diese Meldungen bislang schnell und effizient verwaltet hat, wurde die Bibliothek von vielen Systemadministrator*innen und Programmierer*innen auf der ganzen Welt in Softwareprodukte eingebaut. Die Java-Plattform wird auf über drei Milliarden Geräten weltweit genutzt.¹

Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar. Weltweit führen Cyber-Sicherheitsbehörden, Unternehmen und CERTs Massenscans durch und entdecken verwundbare Systeme, sowie bereits erfolgreich durchgeführte Angriffe. Aktuell ist davon auszugehen, dass „Log4J“ in den Versionen 1.x bis 2.14.1 verwundbar ist. Die Schwachstelle wurde mit dem höchstmöglichen CVSS-Score von 10,0 bewertet. Zusätzlich wurde eine Schwachstelle (CVE-2021-45056) in der Version 2.15 mit dem CVSS-Score 3,7/10 identifiziert, die in der Version 2.16.0 behoben wurde. Neben großen Rechenzentren und Unternehmensservern können aber auch Netzwerktechnologien und Systemkomponenten „Log4J“ einsetzen, die bei kleinen und mittelständischen Firmen oder bei Verbraucherinnen und Verbrauchern im Betrieb sind. Die Hersteller dieser Systeme stellen bereits Updates zur Verfügung – so auch die ELO Digital Office GmbH.

Die meisten ELO Module, bspw. ELO Indexserver, ELO WF oder der ELO Web Client setzen keine „Log4J“2-Versionen ein und sind nicht betroffen. Die Java Clients von ELO setzen aktuelle Java Versionen ein, bei denen eine Remote Code Execution zumindest für RMI- und LDAP-Protokolle eingeschränkt sind. Aktuellen Erkenntnissen zufolge schützt dies aber nicht vollständig vor möglichen Angriffen. Wir stufen diese Lücke dennoch als kritisch ein und empfehlen dringend ein Update der Clients. Die Elasticsearch verwendet auch eine betroffene „Log4J“-Komponente und sollte ebenfalls aktualisiert werden, auch wenn keine Benutzer*inneneingaben in die Logs übertragen werden.²

Nach unserer Einschätzung zum gegenwärtigen Zeitpunkt, auf Basis des bisherigen Kenntnisstandes, ist ein korrekt konfiguriertes und gesichertes ELO System von externen Dritten über die Schwachstelle in „Log4J2“ nicht direkt angreifbar, da öffentliche APIs (bspw. im Index Server) u.a. hiervon nicht betroffen sind. Die Schwachstellen können unser Ansicht nach daher nur von Benutzer*innen (z.B. Mitarbeiter*innen) ausgenutzt werden, welche ohnehin auf die interne Infrastruktur (Client/Netzwerk) Zugriff haben.

Sowohl auf die erste bekannte Sicherheitslücke CVE-2021-44228, als auch auf die nachfolgende CVE-2021-45056, reagierte der Hersteller ELO Digital Office GmbH mit einer umgehenden Bereitstellung neuer Client- und Serverkomponenten sowie manuell einzufügende Hotfixes.

Wir arbeiten weiterhin, gemeinsam mit der ELO Digital Office GmbH, mit Hochdruck daran, die Sicherheitsupdates bei unseren Kund*innen zu verteilen und Sie zu jedem Zeitpunkt offen und transparent über die Situationsentwicklung zu informieren.

Update 19.12.2021:
Am Wochende gab es ein erneutes Update seitens der Apache Foundation, nachdem ein ein weiterer Bug bekannt wurde (CVE-2021-45105). Durch diesen Bug ist es möglich, durch bestimmte Usereingaben, das dahinterliegende System durch eine Endlosschleife zum Absturz zu bringen. Zum berechtigten Unmut der Kunden,Verbraucher und Softwareentwickler muss jetzt wiedereinmal ein Update erstellt und verteilt werden.

Bitte beachten Sie, dass diese Auflistung lediglich einen aktuellen Stand bieten kann, da sich die Lage aufgrund der dynamischen Situationsentwicklung ständig ändern kann. Wir werden Sie weiterhin auf dem Laufenden halten.

Hier finden Sie weitere Informationen zu dem Thema:

• https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html
• https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Schwachstelle-log4Shell-Java-Bibliothek/log4j_node.html

Bei weiteren Fragen wenden Sie sich gerne an Ihre(n) Kundenbetreuer*in.

Mit freundlichen Grüßen

Reiner de Jonge und Björn de Groot
Geschäftsführung NWBC
 

Stand 16.12.2021 16.00 Uhr
¹Vgl. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Schwachstelle-log4Shell-Java-Bibliothek/log4j_node.html

Update 19.12.2021 22.00 Uhr