Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die am Freitag bekannt gewordene Zero-Day-Lücke „Log4Shell“ in der weit verbreiteten Java-Bibliothek Log4j nachträglich auf die höchste Warnstufe Rot hochgestuft hat. Die Schwachstelle kann auch ohne explizites Nachladen von Schadcode ausgenutzt werden
Das ganze Ausmaß der Bedrohungslage lässt sich derzeit nicht vollständig beurteilen, da eine Vielzahl von Produkten von unterschiedlichsten Herstellern betroffen ist. Dementsprechend ist derzeit noch keine Einzellösung zur Behebung der Probleme bekannt.
Nach derzeitigem Stand der Hersteller sind folgende Systeme NICHT betroffen:
- BASYS ReverseProxy
- Citrix Netscaler / Access Gateway
- Fortinet Firewalls
- Sophos Firewalls
- Microsoft Exchange
Wir prüfen aktuell laufend die Informationslage bei den Herstellern und informieren Sie umgehend, sobald Updates oder Workarounds für diese Schwachstelle erforderlich und verfügbar sind. Besonders im Fokus stehen dabei erst einmal Systeme, die in der DMZ betrieben werden und von extern erreichbar sind.