Am Freitag wurde eine kritische Sicherheitslücke in log4j, einer Protokollierungsbibliothek für Java-Anwendungen, veröffentlicht, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der Bedrohungsstufe „Rot“ (=extrem kritisch) eingestuft wird. Die Schwachstelle erlaubt es Dritten, sich tiefgreifende Rechte auf Systemen zu verschaffen, um beispielsweise Schadcode nachzuladen und auszuführen.
Viele Softwarehersteller haben neben Warnungen vor der Lücke in log4j bereits Workarounds oder sogar Patches veröffentlicht. Sofern verfügbar haben wir die Patches für die von der EBF gehosteten Systeme bereits eingespielt oder Workarounds umgesetzt. Für diese und nicht von der EBF gehostete Systeme finden Sie in diesem Blogartikel wichtige Informationen.
Was ist geschehen und was sind die Folgen?
Ein Dienstleister für IT-Sicherheit hat eine Schwachstelle (CVE-2021-44228) in den Versionen 2.0 bis 2.14.1 von der Protokollierungsbibliothek log4j bekannt gemacht, die in vielen Systemen verwendet wird. Diese ermöglicht es Angreifern, auf dem Zielsystem eigenen Programmcode auszuführen und auf diesem Wege den Server zu kompromittieren. Hierdurch können Angreifer weitreichende Aktionen durchführen.
Was sollten Sie tun?
1) Wir empfehlen dringend, die von den Herstellern angebotenen Updates zu installieren, sobald diese bereit stehen. Genauere Informationen für die einzelnen Systeme folgen hier:
Für MobileIron stehen Workarounds zur Verfügung.
- Für die von der EBF gehosteten Systeme haben wir bereits am Samstag einen ersten Workaround eingespielt. Einen zusätzlichen von Ivanti bereitgestellten Workaround werden wir im Laufe des Tages für Sie einspielen.
- Für nicht von uns gehosteten Systeme empfehlen wir Ihnen, gemäß der Anleitung von Ivanti vorzugehen: https://forums.ivanti.com/s/article/Security-Bulletin-CVE-2021-44228-Remote-code-injection-in-Log4j
Jamf hat eine neue Library bereitgestellt, die die vulnerable Version von log4j ersetzt. Die neue Library ist in der neuen Jamf-Version 10.34.1 bereits enthalten, welche zur Installation zur Verfügung steht.
- Für die von der EBF gehosteten Systemen haben wir das Update bereits am Samstag eingespielt.
- Für nicht von uns gehostete Systeme empfehlen wir Ihnen, auf die Version 10.34.1 zu aktualisieren (https://docs.jamf.com/10.34.1/jamf-pro/release-notes/Whats_New_in_This_Release.html) oder den Workaround manuell durchzuführen: https://docs.jamf.com/technical-articles/Mitigating_the_Apache_Log4j_2_Vulnerability.html
Im UEM-Umfeld sind die Produkte VMware Unified Access Gateway, VMware Workspace ONE Access und der VMware Workspace ONE Access Connector betroffen. VMware hat bereits einen Workaround erarbeitet, um die Sicherheitslücke dort zu schließen.
- In den von der EBF gehosteten Systemen ist dies bereits erfolgt.
- Für nicht von uns gehostete Systeme empfehlen wir Ihnen, gemäß der Anleitung von VMware vorzugehen: https://www.vmware.com/security/advisories/VMSA-2021-0028.html
Für BlackBerry-Kunden
Das BlackBerry UEM ist nicht betroffen. Für den BlackBerry Enterprise Mobility Server und BlackBerry Workspaces hat BlackBerry einen Workaround erarbeitet. Kunden können sich hierfür an den EBF-Support wenden.
Für EBF-Kunden:
Kunden mit einem bei der EBF gehosteten System müssen keine manuelle Aktion durchführen. Kunden, deren System nicht bei der EBF gehostet wird, können sich gerne an unser Support-Team wenden: moc.f1733448636be@tr1733448636oppus1733448636.
Wichtiger Hinweis: Da die Hersteller auch weiterhin an Updates arbeiten, wird es im Laufe des Tages bei einigen Systemen zu kurzfristigen Downtimes kommen.
2) Bei Systemen, für die noch kein Update bereitsteht oder bei denen noch nicht klar ist, ob sie von der Sicherheitslücke betroffen sind, empfehlen wir, die Verbindung zum Internet zu unterbinden, wenn diese nicht zwingend benötigt werden.
Betroffenheit anderer Produkte / Services
EBF-Produkte (EBF Onboarder, EBF Files, EBF Print, EBF Contacts, MIDA) sind nicht betroffen. Die Betroffenheit weiterer Systeme wird derzeit von den Herstellern geprüft.
Sobald wir weitere Kenntnisse zu der Sicherheitslücke oder Kenntnisse über weitere Updates haben, werden wir Sie hier umgehend informieren