Log4J

Liebe Kunden,

wir möchten Sie gerne darüber informieren, welche Konsequenzen die Log4j-Schwachstelle für den IT-Betrieb in der SIZ und für die SIZ-Produkte SITB, SIDS, SIMON Plus, Management Cockpit (MC), RiMaGo, Compliance-Suite, IDV-Suite, IKS-Miner und die TRAVIC-Produkte hat.

Nähere Informationen zu der Schwachstelle finden Sie in der S-CERT-Meldung S-CERT-2021-2159 und der Alarmierung S-CERT-M478526 zur CVE-2021-4422.

Informationen zum SIZ-IT-Betrieb

Direkt nach Bekanntwerden der gravierenden Schwachstelle in der Java-Bibliothek Log4j 2.x.y haben wir in der SIZ risikoorientiert Sofort- und Folgemaßnahmen ergriffen:

1. Es wurde eruiert, in welchen Java-basierten Anwendungen Log4j in einer Version mit der aktuellen Schwachstelle eingesetzt wird und ob das jeweilige Einsatzszenario eine Ausnutzung der Schwachstelle zulässt.
2. Sofern nicht ohnehin schon öffentlich verfügbar, wurden entsprechende Stellungnahmen von den jeweiligen Anbietern und Dienstleistern eingefordert.
3. Bei zum Internet exponierten Diensten konnten keine signifikanten Risiken identifiziert werden, sei es, weil Log4j gar nicht oder nicht in einer Version mit der Schwachstelle eingesetzt wurde oder weil die Konfiguration eine Ausnutzung nicht zuließ. Sofern temporär noch Zweifel an dieser Einschätzung vorlagen, wurden Maßnahmen zur Eindämmung ergriffen (Deaktivieren von betroffenen Dienstkomponenten, netzseitig eingeschränkter Zugriff).
4. Bei einzelnen internen Diensten wurde ein erhöhtes Risiko vermutet und in Teilen auch vom Hersteller bestätigt. Risikoorientiert wurden dort, wo noch keine Updates verfügbar waren, ebenfalls Maßnahmen zur Eindämmung ergriffen.
5. Wo Updates für die Log4j-Bibliothek vom jeweiligen Hersteller bereitgestellt wurden, wurden und werden diese zeitnah eingespielt.
6. Die Update-Kanäle der betroffenen Anwendungen werden speziell im Hinblick auf Log4j relevante Patches überwacht.
7. Es wurden keinerlei Hinweise für eine Kompromittierung von – internen oder externen – Diensten oder Systemen der SIZ aufgrund der Log4j-Schwachstelle gefunden.
8. Von geringfügigen Einschränkungen aufgrund noch aktiver vorbeugender Maßnahmen abgesehen läuft der SIZ-IT-Betrieb wie gewohnt.

Selbstverständlich werden wir unsere internen Maßnahmen fortsetzen und auch das externe Geschehen weiterverfolgen. Bei relevanten Änderungen werden wir Sie entsprechend informieren.

Informationen zu den SIZ-Produkten

Direkt nach Bekanntwerden der Sicherheitslücke in der Bibliothek Log4j haben wir die Auswirkungen auf unsere Produkte analysiert und sind zu den folgenden Ergebnissen gekommen:

Compliance-Suite

Die netgo GmbH als Entwickler und Hosting-Partner der SIZ für die SIZ Compliance-Suite hat die Software intensiv analysiert und verfolgt zudem die Rückmeldungen des Hostingbetreibers q.beyond AG engmaschig. Auf dieser Grundlage hat die netgo GmbH bestätigt, dass die SIZ Compliance-Suite sowohl anwendungsseitig nicht von der Log4j-Schwachstelle betroffen ist als auch hinsichtlich der Hostingumgebung kein Risiko durch die gefundene Schwachstelle identifiziert wurde.

IDV-Suite

Der Hersteller der IDV-Suite hat die IDV-Suite im Hinblick auf die Log4j-Schwachstelle analysiert und bestätigt, dass diese von der Sicherheitslücke nicht betroffen ist, da Log4j dort nicht eingesetzt wird.

IKS-Miner

Der Hersteller des IKS-Miner hat den IKS-Miner im Hinblick auf die Log4j-Schwachstelle analysiert und bestätigt, dass dieser von der Sicherheitslücke nicht betroffen ist, da Log4j dort nicht eingesetzt wird.

SIMON Plus, Management Cockpit (MC) und RiMaGo

Management Cockpit, SIMON Plus und RiMaGo Desktop basieren nicht auf Java-Technologien. Log4j wird dort nicht eingesetzt. RiMaGo Web wird in Teilen mit Java-Technologien umgesetzt. Die von der kritischen Schwachstelle betroffenen Log4j-Libraries kommen hier aber nicht zum Einsatz. Dies wurde durch einen Komplett-Scan unserer Anwendungssysteme auch noch einmal bestätigt.

Sollten Sie für Ihre Management Cockpit- oder SIMON Plus-Installation eine Oracle Datenbank verwenden, möchten wir Sie darauf hinweisen, dass dort die Sicherheitslücke noch einmal getrennt betrachtet werden muss. Oracle stellt entsprechende Sicherheitspatches zur Verfügung. Bitte prüfen Sie, ob Sie diese ggf. einspielen müssen.

SITB/SIDS V19.x

Der SITB-Werkzeugkasten hat die Version log4j-1.2.17.jar im Einsatz, das Erhebungsmodul im SITB/SIDS hat zusätzlich über die integrierte Spring Boot Release 2.1.6 die Version log4j Core 2.11.2.

Bewertung: SITB/SITB wird in der Regel lokal gestartet und genutzt, also in einer geschlossenen Firmenumgebung. Dies betrifft auch Nutzersitzungen in Terminalserver-Umgebungen. Bei Nutzung des SIZ-Werkzeugkastens und des Erhebungsmoduls kann die aktuelle Schwachstelle nach derzeitigem Kenntnisstand nur ausgenutzt werden, falls auf dem Rechner / in der Benutzersitzung bereits (unerkannte) Malware existiert, die auf Ausnutzung der aktuellen Schwachstelle zielt. Insofern sehen wir kein hohes Gefährdungspotential.

Mit der nächsten SITB/SIDS-Version 20 wird die aktuelle gepatchte log4j-Version eingesetzt, in der die derzeit bekannten Schwachstellen nicht vorhanden sind. Sollte sich die Bedrohungslage verschärfen, werden wir kurzfristig einen Patch zur aktuellen Version 19 zur Verfügung stellen.

TRAVIC-Produkte

Die Kollegen der PPI AG haben die TRAVIC-Produkte eingehend analysiert und sind zu folgenden Ergebnissen gekommen:

• Die dezentralen TRAVIC-Produkte T-Link, T-Corporate und EBICS-Kernel sind nicht betroffen, da sich diese Schwachstelle ausschließlich auf die Versionen 2.0-beta9 bis einschließlich 2.14.1 von Log4j bezieht.
  Für die Produkte TRAVIC-Retail und TRAVIC-Port wurde ein Patch ausgeliefert.
• Die hostbasierten TRAVIC-Produkte (T-Corporate/HOST, T-Link/HOST, T-Interbank/HOST) sind nicht direkt betroffen, da Log4j nicht genutzt wird.
• Lediglich bei den Unix-basierten Vorsystemen von T-Corporate/HOST und T-Interbank/HOST wird Log4j verwendet, hierfür wurde bereits ein Patch ausgeliefert.

Freundlich grüßt Sie
SIZ GmbH

Jens Bartelt                            Benno Rieger
SIZ-Geschäftsführung