SECURITY

LOG4J

Sicherheitslücke

Aus den Medien und unter anderem aus der Tagesschau ist eine Sicherheitslücke bekannt geworden, die weitreichende Folgen in jedem Netzwerk haben könnte. Es handelt sich hierbei um die Programmbibliothek Log4j. Diese Bibliothek ist bekannt für ein große Funktionalität und ebenso große Vielfalt rund um das Verfahren „Logging“. Einfach ausgedrückt: Das Logging-Verfahren hilft das Verhalten des Users und des Programms zu verfolgen um Logikfehler im Programmcode zu identifizieren und entsprechend den Code, auch an die gegebenen Geschäftsprozesse, anzupassen.

Das Framework ist einer der Marktführer für diesen Bereich. Es können verschiedene Logging-Levels eingestellt werden. Ebenso lässt sich das „Log“ (Protokolleinträge, wie eine Art Tagebuch) in verschiedenen Ausgabeformaten, wie z.B. XML, TXT, CSV, etc. ausgeben werden, um weitere Auswertungen machen zu können.

Das Framework wurde erstmalig am 08. Januar 2001 veröffentlicht und steht unter einer Apache-Lizenz (somit Open Source, siehe).

Seitdem sind viele Erweiterungen hinzugekommen. Seit Juli 2014 ist log4j 2 als Nachfolger des log4j 1.x verfügbar.

Wie es der Name schon verrät ist das Log4j-Framework bei Java-Anwendungen im Einsatz. Log4j ist sehr populär. Auf Grundlage dieser Popularität wurden weitere Frameworks auf Grundlage von Log4j programmiert. Ff. eine Auflistung:

  • Log4c : Basis bildet die Programmsprache C
  • Log4js : Basis bildet die Programmsprache Ajax
  • Log4db2 : Basis bildet die Datenbank DB2
  • Apache Log4cxx : Basis bildet die Programmsprache C++
  • Log4r : Basis bildet die Programmsprache Ruby
  • Apache log4php : Basis bildet die Programmsprache PHP
  • log4perl : Basis bildet die Programmsprache Perl
  • Apache Log4net : Basis bildet die Programmsprache .NET (C#, VB, etc.)
  • log4javascript : Basis bildet die Programmsprache JavaScript

Am 10. Dezember 2021 wurde eine Zero-Day-Lücke in log4j Version 2 bekannt (CVE-2021-44228), welche Angreifer ausnutzen konnten, um Code auf dem jeweiligen Host bzw. Hostsystem, sei es Server oder Client auszuführen. Lt. unseren Quellen konnten Angreifer die Rechenleistung von den infizierten Servern ausnutzen, um Krypto-Mining zu betreiben. Mit der neuen Log4j Version 2.15.0 wurde die Lücke geschlossen. Bekannt wurde ebenfalls, dass Dienste unter anderem Amazon Web Services, Steam und iCloud betroffen sind.

Das Framework für .NET „Log4net“ wird in einigen NE4-Applikationen eingesetzt. Lt. unseren Informationen liegen hier keinerlei Sicherheitslücken vor.

Im Übrigen sind nur die Systeme betroffen, die Log4j als Verfahren nutzen die direkt mit dem World-Wide-Web verbunden sind. Das kann bedeuten, dass sie nichts tun müssen. Es kann aber durchaus sein, dass einige Update-Dienste in Ihrem Netzwerk das Framework/Bibliothek verwenden und somit eine potenzielle Bedrohung darstellen.

Es ist zusätzlich noch mitzuteilen, ohne dabei dem jeweiligen Softwaredienstleister „schlecht zu machen“, dass ff. Softwarelösungen betroffen sein könnten. Die Lösungen sind bei einigen im Einsatz und der technische Ansprechpartner sollte diesbezüglich befragt werden:

  • Opti-Tool
  • Easy-Archiv
  • DocuWare
  • eGecko
  • Lösungen auf Grundlage von Oracle
    • Wandplan-Systeme
    • Fördertechnik
    • Hochregallager
  • crossnix Lösungen (arbeiten bereits an der Schließung der Sicherheitslücke, Stand 15.12.2021)
Jüngst ist auch SAP Crystal Reports davon betroffen, dessen Funktionalität viele Software-Schmieden für Druckaufbereitung nutzen, so auch NE4-Applikationen. Ein direkter Zugriff auf das Web ist nicht bekannt und somit (Stand 15.12.2021) ist keine Gefahr davon auszugehen.

Hinzu kommt, dass heute ein Statement von Uniface gemacht wurde. Alle Versionen älter als 9.6.x.x seien betroffen, werden aber nicht mehr gepatcht bzw. upgedatet. Die Empfehlung bei Einsatz von Unifcae: Softwarelösung auf den Stand 9.7.5.0 aktualisieren.

Ebenfalls schließt die C’t (eine bekannte Computerfachzeitschrift) Bankensoftware nicht aus. Hierzu zählen unter anderem:
  • SFirm
  • Profi cash
Zu guter Letzt bleiben Sie gesund!

Grüße Oli