Seit dem 11. Dezember 2021 wird über verschiedene Kanäle (u.a. BSI [1] und CISA [2]) vor der Existenz und Ausnutzung einer Sicherheitslücke in der Java-Bibliothek "Log4j" gewarnt (Zero-Day-Attacke, CVE-2021-44228). Das Problem besteht auf dem empfangenden Server.
Ist Hornetsecurity betroffen?
Die Hornetsecurity Gruppe hat hohe Anforderungen an die eigene IT-Security. Wir führen in regelmäßigen Abständen automatisierte Schwachstellen-Scans durch, um frühzeitig IT-Security Gefahren zu mitigieren. Die hierbei etablierten Prozesse haben uns geholfen, schnell auf das neue Risiko einzugehen, um unsere Infrastruktur und Services zu schützen.
Die Hornetsecurity Gruppe hat ihre Systeme systematisch überprüft, ob von der genannten Schwachstelle eine direkte oder indirekte Gefahr ausgeht. Dafür haben wir einen
- automatisierten Schwachstellen-Scan durchgeführt,
- die auf den jeweiligen Systemen installierten Software-Pakete und Abhängigkeiten geprüft ,
- Aussagen von Drittherstellern, deren Software-Pakete wir einsetzen, geprüft und mit unseren Ergebnissen verglichen.
Primäre Infrastruktur (Verwendung für die direkte Verarbeitung von Kundendaten)
Systeme dieser Stufe sind nicht von der Schwachstelle betroffen.
Sekundäre Infrastruktur (nachgelagerte Systeme, die indirekt Kundendaten verarbeiten)
Wir haben Systeme zur Verarbeitung von Metadaten identifiziert, die von der Schwachstelle betroffen sind.
Als Sofortmaßnahme wurden die zur Mitigationen empfohlenen Workarounds bereits durchgeführt. Die Netzwerksegmente der betroffenen Systeme sind nur für die Kommunikation mit Systemen der primären Infrastruktur freigegeben, ausgehender Datenverkehr blockiert. Ein durch die Ausnutzung der Lücke möglicher theoretischer Abfluss von Daten an Dritte ist dadurch nicht möglich.
Die Systeme werden außerhalb der mitteleuropäischen Geschäftszeiten, beginnend am 13.12.21, gepatcht. Mit dem Rollout der Patches auf alle Systeme rechnen wir bis spätestens 19.12.21. Wir rechnen nicht mit Beeinträchtigungen der Services.
Tertiäre Infrastruktur (Support- und interne Entwicklungssysteme, die keine Verbindung zu Systemen der Leistungserbringung haben)
Es wurden Systeme identifiziert, die von der Schwachstelle betroffen sind. Der Zugriff ist nur technischem Personal möglich. Das Risiko einer Ausnutzung der Lücke wird als sehr gering eingestuft.
Die betroffenen Systeme werden bedarfsorientiert innerhalb der nächsten 7 Tage gepatcht.
Kann Hornetsecurity Log4j Angriffe erkennen und bin Ich geschützt?
Wir haben in unserem Blog die Hintergründe der Sicherheitslücke detailliert aufgearbeitet, eine detaillierte Antwort auf diese Frage entnehmen Sie am besten unserem Blogpost.
Update 23.12.2021:
Die internen Wartungsarbeiten zur kritischen Lücke CVE-2021-44228 (log4j / log4shell) wurden, wie angekündigt, bis zum 19.12.21, 18:00 Uhr, abgeschlossen.
Die neu gemeldeten Lücken CVE-2021-45046 und CVE-2021-45105 bzgl. derselben Komponente wurden von uns mit deutlich geringerem Risiko bewertet. CVE-2021-45046 beschreibt eine neue "Remote Code Execution" Schwachstelle mit einer CVSS Basis Punkteanzahl von 9.0. CVE-2021-45105 ist eine "Denial of Service" Schwachstelle mit einer CVSS Basis Punkteanzahl von 9.0.
Auch hier gilt, dass externe Systeme nicht betroffen sind. Unser internes Sicherheitsteam hat unser sekundären und tertiären Systeme überprüft, ob diese von den neuen Sicherheitslücken betroffen sind. Unserer Maßnahme, welche gegen CVE-2021-44228 unternommen wurden, reduzieren das Risiko der Ausnutzung der Schwachstelle CVE-2021-44228 (RCE) erheblich. CVE-2021-45105 (DoS) betrifft unsere Systeme nicht. Alle System wurden oder werden von uns gepatcht, sobald diese von dem Hersteller veröffentlicht werden. Unsere Sicherheitsmaßnahmen, um Systeme und Service zu schützen sind bis dahin weiterhin in Kraft.
Wir überwachen und bewerten weiterhin 24x7 alle eingehenden Meldungen zu Schwachstellen, um ggf. kurzfristig notwendige Maßnahmen zur Erhaltung der Sicherheit abzuleiten und umzusetzen. Die Verfügbarkeit des Emergency Response Teams ist auch über die anstehenden Feiertage sichergestellt.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.