Log4j Information zum Umgang mit der Apache Log4j-Sicherheitslücke

Was ist Log4j?

Log4j ist eine beliebte Protokollierungs-Bibliothek und wird in vielen Java-Anwendungen eingesetzt. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung.
Die entsprechende Sicherheitslücke ermöglicht es, auf dem Zielsystem von Dritten eingeschleuste Programmcodes auszuführen und den eigenen Server so zu kompromittieren, dass weitere Schadsoftware nachgeladen oder vertrauliche Daten offengelegt werden können.

Das alleinige Aktualisieren der Bibliothek über die Softwareverwaltung von Betriebssystemen reicht zur Schließung der Schwachstelle nicht aus.
Die Bibliothek wird häufig von Softwareherstellern in die Auslieferungsdateien der eigenen Software direkt integriert und ist daher unabhängig von der auf dem Betriebssystem allgemein installierten Bibliotheks-Version.
Eine ähnliche Problematik ergibt sich für die verwendete Java-Version.

Welche Sofortmaßnahmen sind zu ergreifen?

Grundsätzlich gilt: wenn Sie bei Bewältigung der Situation (schnelles Patchen, forensische Untersuchungen, etc.) Unterstützung brauchen, sollten Sie wegen der möglichen schwerwiegenden Konsequenzen für Ihre Organisation einen IT-Dienstleister hinzuziehen

Identifizieren Sie potenziell betroffene Systeme.

Das können solche sein, welche Java als Installations-Voraussetzung haben oder Java installieren.
Patch installieren

Anschließend sollten bereitgestellte Patches installiert werden. Gehen Sie priorisiert vor: fangen Sie an bei Ihren kritischen Systemen wie Windows- und Linux-Servern, Appliances wie Firewalls, Logging-Server, Hypervisors, Router, managed Switches und andere relevanten Security-Systeme - anschließend alle Systeme mit direkter Anbindung ans Internet.
Hinweise des BSI folgen

Folgen Sie dann den weiteren Hinweisen und Maßnahmen, die in der u.a. Information des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschrieben sind – diese Information wird durch das BSI laufend aktualisiert

Was ist zu tun, wenn sich aus der Überprüfung eine Kompromittierung des Systems ergibt?

Melden Sie sich bei unserer Notfallhotline, sofern Sie Unterstützung benötigen (die Telefonnummer finden Sie auf Ihrem Versicherungsschein bzw. Nachtrag)
Wenn notwendig: temporäre Abschaltung oder gezielte Abschottung betroffener Systeme
Prüfen Sie, ob es zu Veränderungen bei hochprivilegierten Benutzergruppen gekommen ist (Untersuchung des Active Directory)
Beobachtung der betroffenen Dienste und unternehmenskritischen Systeme
Weiterhin empfehlen wir, entsprechende Notfallprozesse abzustimmen oder bereits vorhandene Notfallprozesse zu überprüfen
Sofern ein Schaden eingetreten sein sollte, melden Sie uns diesen mit der Versicherungsscheinnummer über schaden@axa.de (siehe auch PDF zum Verhalten im Schadenfall)