Kritische Schwachstelle in Log4j

Die Schwachstelle betrifft eine breite Palette von Diensten und Anwendungen auf Servern und kann ohne zusätzliche Schutzmassnahmen aus der Ferne ohne Anmeldung ausgenutzt werden, was sie gefährlich macht [1]. Sophos beschreibt die Schwachstelle und Handlungsoptionen in einem Blogartikel [2].

Security Lösungen (von Sophos, Fortinet, Microsoft und weitere) erkennen bekannte Angriffsmuster über diese Schwachstelle und können diese blockieren. Es wird trotzdem empfohlen, die neuesten Updates für betroffene Software sehr zügig zu installieren oder die von den Herstellern genannten Workarounds zu implementieren.

first frame networkers hat die Security Advisories der wichtigsten Lieferanten geprüft und nachfolgend zusammengefasst. Sollten Sie von einem Softwarehersteller eine Benachrichtigung zu der Schwachstelle erhalten haben, zögern Sie nicht, diese ihrem Account Manager weiterzuleiten, wir werden die Angaben prüfen und nötige Massnahmen vorschlagen. Die Prüfung erfolgt kostenpflichtig.

Statements unserer wichtigsten Lieferanten

• Sophos: Die von uns bei Kunden eingesetzten Produkte [3] sind nicht betroffen. Intrusion Prevention System (IPS) Signaturen sind in die Endpoint Protection Lösungen eingepflegt, bekannte Angriffsvektoren werden dadurch blockiert.
• Fortinet: Ausser FortiNAC sind keine bei unseren Kunden eingesetzten Produkte betroffen [4]. Das IPS von Fortinet erkennt Angriffe, die die Schwachstelle ausnutzen [5], falls die Applikation entsprechend geschützt ist. Bekannte Indicators of Compromise sind in die Filter eingepflegt.
• Extreme Networks: Die Untersuchung [6] ist noch nicht abgeschlossen.
• VMware: Einige Produkte sind betroffen, sie Untersuchung ist noch nicht abgeschlossen [7]. Derzeit sind keine Patches veröffentlicht, Workarounds sind beschrieben.
• Estos Software ist nicht betroffen [8].
• Microsoft 365 Defender erkennt und blockiert bekannte Angriffsvektoren [9].
• HPE ist noch an der Analyse der Schwachstelle [10].
• Citrix ist noch an der Analyse der Schwachstelle [11].

Update vom 14.12.21:

• HPE hat nicht betroffene Produkte im schon angegebenen Link [10] bezeichnet.
• FortiNAC ist nicht betroffen [4].
• Extreme Networks hat bei vielen Produkten erkannt, dass diese nicht betroffen sind [6].
• Veeam ist von der Schwachstelle nicht betroffene [12].

Update vom 16.12.21:

• AudioCodes SmartTap und AudioCodes Routing Manager (ARM) sind betroffen, bei Native Teams IP Phones und Teams Meeting Room Devices sind die Untersuchungen noch nicht abgeschlossen, weitere Produkte sind nicht betroffen [13].

Update vom 22.12.21:

• AudioCodes Native Teams IP Phones sind nicht betroffen [13].

Links 

[1] https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/

[2] https://news.sophos.com/de-de/2021/12/12/java-schwachstelle-log4shell-was-passiert-ist-und-was-zu-tun-ist/

[3] https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce 

[4] https://www.fortiguard.com/psirt/FG-IR-21-245?utm_source=blog&utm_campaign=blog 

[5] https://www.fortiguard.com/encyclopedia/ips/51006 

[6] https://extremeportal.force.com/ExtrArticleDetail?an=000100806&_ga=2.8924661.1942628706.1639384902-1261081976.1634634957

[7] https://www.vmware.com/security/advisories/VMSA-2021-0028.html

[8] https://support.estos.de/de/sicherheitshinweise/estos-von-kritischer-schwachstelle-in-log4j-cve-2021-44228-nicht-betroffen 

[9] https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/ 

[10] https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=a00120086en_us 

[11] https://support.citrix.com/article/CTX335705 

[12] https://community.veeam.com/blogs-and-podcasts-57/log4j-vulnerability-what-do-you-need-to-know-1851

[13] 0449 Product Notice - AudioCodes Response to Security Vulnerability Apache Log4j 2 (CVE-2021-44228)