Wie den Medien zu entnehmen ist, hat das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) die kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j als extrem kritische Bedrohungslage eingeschätzt. Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte. In wie weit netcup Kunden davon betroffen sind, ist hier nachzulesen.
netcup hat unmittelbar nach Bekanntwerden der genannten Sicherheitslücke geprüft, ob eine Gefährdung für Kunden (z.B. durch interne Systeme) besteht. Wir sind zu dem Ergebnis gekommen, dass dies nicht der Fall ist und keine Gefahr für Systeme bzw. Kundendaten von netcup besteht.
Bei von Kunden betriebenen Anwendungen auf Root-Servern / VPS ist unterdessen nicht auszuschließen, dass diese von dem Sicherheitsvorfall betroffen sind. Root-Server / VPS werden nicht von netcup verwaltet. Für die Administration dieser Systeme sind Kunden selbständig verantwortlich. Dies gilt auch grundsätzlich im Bezug auf jegliche administrative Aufgabe und Sicherheitssachverhalte.
netcup hat keinen Einblick in Root-Server / VPS und kann daher keine Aussagen dazu treffen, ob Anwendungen auf Kundenservern installiert / betroffen sind oder ob der Server gegebenenfalls sogar schon infiziert ist. Wir bitten Kunden, die Java-Anwendungen nutzen, selbständig zu prüfen, ob die Sicherheitslücke auf diese zutrifft und in diesem Fall geeignete Gegenmaßnahmen zu ergreifen, um eine Infektion ihrer Systeme zu verhindern. Hinweise dazu finden sich in diversen Online-Publikationen und im Regelfall auch beim Hersteller der genutzten Programme.
Um sich einen ersten Überblick über etwaige nötige Schritte zu verschaffen, könnte dieser Artikel nützlich sein.
Grundsätzlich sollte dabei beachtet werden, dass das Problem bereits aktiv ausgenutzt wird. Ist ein System also von der Sicherheitslücke betroffen, sollte im Zweifel, wenn dies nicht sicher ausgeschlossen werden kann, davon ausgegangen werden, dass dieses kompromittiert ist.
Weiterführende Informationen zum Thema Log4j bietet auch der Artikel des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI).
