Sehr geehrte Damen und Herren,

hiermit möchten wir Sie über die Veröffentlichung einer RCE-Schwachstelle (Remote Code Execution) in Apache log4j 2 hinweisen.
Log4j ist eine häufig verwendete Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung. Die Schwachstelle CVE-2021-44228[MIT2021] betrifft log4j in den Versionen 2.0 bis 2.14.1, und ermöglicht Angreifern gegebenenfalls, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren.
Diese Gefahr besteht dann, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren. Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.

Mehr Informationen erhalten Sie direkt beim BSI.

Die Sicherheitslücke wurde vom BSI als Stufe 4 Bedrohung eingeschätzt und kann zu massiven Beeinträchtigungen führen.
Es besteht dringender Handlungsbedarf. Wie bei vielen schwerwiegenden RCE-Exploits hat im Internet eine massive Scan-Aktivität für CVE-2021-44228 begonnen, um ungepatchte Systeme aufzuspüren und auszunutzen. Wir empfehlen dringend alle Systeme umgehend auf die neueste Version (2.15.0-rc2) von Apache log4j 2 zu aktualisieren.

Betroffene Version Apache Log4j 2.x <= 2.15.0-rc1

Betroffene Software

Eine beträchtliche Anzahl von Java-basierten Anwendungen verwendet log4j als Logging-Dienstprogramm und ist für dieses CVE anfällig. Dies betrifft unter anderem Produkte unserer Partner und VMware und Microsoft betroffen. Durch die großflächige Verteilung der Schwachstelle in den unterschiedlichsten Programmen aller Hersteller muss die individuelle Analyse pro Hersteller und Programm erfolgen. Diese Informationen entnehmen Sie bitte direkt den entsprechenden Seiten der jeweiligen Anbieter. Was ist jetzt zu tun? Für alle Services welche Kunden selbst betreiben und managen raten wir dazu schnellstmöglich zu prüfen ob die Lücke auftritt und die entsprechende Mitigation durchzuführen. Hiervon betroffen sind vor allem mit höchster Kritikalität Systeme die aus dem Internet direkt erreichbar sind. Also vornehmlich Webserver und Webanwendungen. Nahezu alle Firewallhersteller haben für ihre IPS und Andvanced Treat Protection Lösungen bereits Updates geliefert. Hier sollte geprüft werden ob diese bereits installiert sind und wirken.

Gerne unterstützen wir Sie aktiv bei der Absicherung Ihrer System.
Können wir helfen?

Sollten Sie Fragen zur Störung haben oder Unterstützung beim patchen Ihrer Systeme benötigen wenden Sie sich bitte an unseren Helpdesk.