Wer oder was ist betroffen?
Die Sicherheitslücke besteht bei der Java-Protokollierungsbibliothek „Log4j“. Diese ist in vielen Java-Anwendungen und darauf basierenden Diensten enthalten. Durch die entdeckte Lücke können Unbefugte über das Internet Programmcodes ausführen und so weitere Lücken öffnen oder Malware installieren. Deshalb dürfen Systeme mit dieser Schwachstelle nicht sorglos weitergenutzt werden.
Maßnahmen
Die Maßnahmen zur Schließung der Sicherheitslücke sollten nach Möglichkeit nur von technisch versiertem Personal vorgenommen werden, um das Problem verlässlich zu lösen und keine anderen Baustellen zu schaffen.
Abhilfe kann vor allem das Aktualisieren von Log4j auf die aktuellste Version (mind. 2.17.1) schaffen.
Betroffene Systeme, die von Dritten zur Verfügung gestellt werden, sollten (wenn möglich) abgeschaltet werden, bis entsprechende Sicherheitsupdates verfügbar sind. Ansonsten ist bis zur Problembehebung besondere Vorsicht vor Angriffen geboten!
ToDo-Checkliste:
Hier eine übersichtliche Zusammenfassung aller anfallenden ToDos[1]:
- Ressourcen für die Analyse und das Beheben der Sicherheitslücke zur Verfügung stellen
- Betroffene Systeme identifizieren (verwendete Softwares mit Quellen abgleichen)
- Log4j-Version auf mind. 2.17.1 updaten
- Falls noch kein Update möglich ist:
- Unterbindung von Namensauflösungen durch spezifische Konfiguration der Log4J-Protokollierung (z. B. Option log4j2.formatMsgNoLookups auf „true“ setzen)
- Alternativ die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf „true“ setzen
- Entfernen der Klasse „JndiLookup“ in Java-JAR-Dateien, sofern möglich
- Sofern JNDI-Anfragen für den Betrieb einer Anwendung erforderlich sind, muss eine Blockierung derartiger Netzwerkaufrufe an nicht vertrauenswürdige (externe) Server mittels Firewallkonfiguration unterbunden werden
- Rücksprache über verwendete Dienste bei Auftragsverarbeitern halten
- Wachsamkeit:
- Ausgehende Netzwerkaktivitäten von Servern nach zur Log4Shell-Schwachstelle passenden Angriffsmustern (z. B. http-Header mit Zeichenkette ${jndi:ldap:// oder auch „merkwürdigen“ Zeichenketten wie ${${::-j}n${::-d ) suchen. Sofern nicht erforderlich, sollten LDAP- sowie RMI-Aufrufe (an externe) Systeme durch die Firewall unterbunden werden. Es sollte auch geprüft werden, ob überhaupt eine wirksame Netzwerkprotokollierung stattfindet.
- Nutzung der Funktionalitäten von Intrusion Prevention Systemen und Web Application Firewalls soweit wie möglich
- Informationen zur Log4Shell-Sicherheitslücke im Auge behalten
- Im Bedarfsfall eine Meldung einer Datenschutzverletzung (Art. 33 DSGVO) durchführen (Genaueres dazu im nächsten Abschnitt)
Ist die Sicherheitslücke zwingend eine Datenschutzverletzung?
Das ledigliche Bestehen einer Lücke ist grundsätzlich keine Datenschutzverletzung an sich und muss deshalb auch noch nicht gemeldet werden. Es ist jedoch eine Verletzung der Vorgaben zur Sicherheit und muss deshalb schnellstmöglich behoben werden. Sollten jedoch Anzeichen bestehen, dass die Schwachstelle ausgenutzt wurde und personenbezogene Daten betroffen sind, liegt vermutlich eine meldepflichtige Datenschutzverletzung vor.
Weitere Quellen:
https://www.lda.bayern.de/de/thema_log4shell.html
[1] https://www.lda.bayern.de/media/veroeffentlichungen/handreichung_log4shell_baylda.pdf
Recent Comments