News Sonntagsfrage: Eine Woche Log4Shell, was hat das für dich bedeutet?

[Kanwulf]

Hersteller am Montag abgeklopft/genervt. Erste workarounds von Apache bis Patches angewendet. Gefühlt tageweise die workaraounds angepasst (Umgebungsvariablen half ja nicht ;-)) und am Ende die Jndi-lookup classes per Python Script deaktiviert ohne Funktionseinbußen. Hardware-Firewall Hersteller reagierten - dort wo genutzt - schnell und Updates waren Dienstag aufgespielt. Jetzt ist erstmal Ruhe bis die Endkunden-Patches raus sind.
Geschäftsführung war das alles egal. Man kennt das in der IT von kommunalen Betrieben... :-|

 

[DJMadMax]

Eigentlich dürfte NIEMAND von uns bei der Umfrage mit "Nein" antworten, denn mindestens indirekt ist jeder von uns betroffen. Offensichtlich nutzt jeder von uns PCs und Smartphones, die zweifellos von der Lücke betroffen sind. Selbst der heimische digitale Bilderrahmen oder die Amazon Alexa, der Smart-TV, die Spielekonsole, was auch immer. Solange es mit dem Internet verbunden ist, ist es auch potenziell vom JAVA-Exploit betroffen. Es gibt ja so gut wie kein IC-gesteuertes Gerät mehr, das nicht in irgend einer Form mit JAVA und der betroffenen Befehlsbibliothek ausgestattet ist.

Die Frage müsste eher lauten:
"Machst du dir als Privatperson Sorgen um die Sicherheit deiner Netzwerkgeräte?"

Und da bin ich - wie auch schon bei all den CPU-Exploits der letzten Jahre, sehr entspannt.

Als Privatperson gilt generell: die größte Sicherheit, gleichzeitig aber auch die größte Sicherheitslücke befindet sich stets direkt vorm Monitor.

Mit etwas gesundem Menschenverstand braucht man sich hier also generell keinerlei Sorgen machen.

Im professionellen Umfeld sieht das natürlich anders aus. Allein schon, weil große Unternehmen natürlich viel beliebtere Ziele sind, als vereinzelte Privatpersonen, herrscht hier schneller und vor Allem durchdachter Handlungsbedarf.

 

[floh667]

Ohne die mediale Panikmache wäre einigen Führungskräften nicht zu verklickern, wieso in manchen Firmen die Abteilungen für Sec und/oder Ops in voller Personalstärke am Wochenende mit vollen Zuschlägen Überstunden schieben sollten. Sehr viel Führungspersonal versteht eine 4/4 Einstufung vom BSI genauso wenig wie ein CVSS 10/10, entsprechend begrüße ich das sehr, dass es medial eskaliert und "greifbar" wird.

Haben Führungskräfte dafür nicht Personal, dass ihnen firmenintern erklärt, was es mit dieser Sicherheitslücke aufsich hat? Sind wir nun so weit, dass es twitter und tagesschau.de braucht, um Führungskräften die Angreifbarkeit ihrer IT aufzuzeigen?

 

[xexex]

Es gibt ja so gut wie kein IC-gesteuertes Gerät mehr, das nicht in irgend einer Form mit JAVA und der betroffenen Befehlsbibliothek ausgestattet ist.

Zum Glück ist das nicht so und JAVA mag omnipräsent sein, oder zumindest will sie es sein, aber alleine schon der Zirkus um JRE und Lizensierung, hat viele Unternehmen längst dazu bewegt das Zeug links liegen zu lassen.

 

[foo_1337]

Haben Führungskräfte dafür nicht Personal, dass ihnen firmenintern erklärt, was es mit dieser Sicherheitslücke aufsich hat?

Auch das Personal ist leider oft clueless.

Sind wir nun so weit, dass es twitter und tagesschau.de braucht, um Führungskräften die Angreifbarkeit ihrer IT aufzuzeigen?

Ja, schon lange.

Als Privatperson gilt generell: die größte Sicherheit, gleichzeitig aber auch die größte Sicherheitslücke befindet sich stets direkt vorm Monitor.

Genau deshalb funktionieren die IoT Botnetze ja so gut. Weil sich niemand mehr um irgendwas schert.

 

[conspectumortis]

Am Montag früh bereits ein Critical-/Blocker-Ticket im Board gehabt und dann gleich alles angegangen und gefixed.
War aber recht überschaubar, keine Ahnung was in anderen Teams so los war.
Unsere IT-Security Leute sind aber auch gut dabei und haben echt viel auf dem Schirm und gehen auch so immer alles durch.

 

[Zhan]

Die Aufwände für Kundenkommunikation und Recherche zum Thema waren wesentlich aufwändiger, als die paar dann notwendigen Handgriffe an ein paar Systemen. Letztlich ist fast alles, was potentiell betroffen ist, gar nicht öffentlich erreichbar und damit ist das Risiko natürlich etwas reduzierter gewesen. Ähnlich wie es CB hier zum eigenen Elastic auch kommuniziert hat. Ein Freund von mir arbeitet im IT-Security-Bereich und er hat recht ausgiebig darüber rumgeranted, dass den anderen 15 Hochrisiko-Lücken PRO TAG nicht genauso viel Aufmerksamkeit zu Teil wird.

 

[foo_1337]

Ein Freund von mir arbeitet im IT-Security-Bereich und er hat recht ausgiebig darüber rumgeranted, dass den anderen 15 Hochrisiko-Lücken PRO TAG nicht genauso viel Aufmerksamkeit zu Teil wird.

Wirklich ein schlauer Freund. Wieviele unauthenticated remote(!) RCE gibt es denn so pro Tag, die vor allem solch viele public reachable targets haben? Schön, wenn ihr nur einen internen ES habt. Schön vor allem dann, wenn die Applikation davor das auch zuverlässig abschottet. Aber was wenn du, wie so viele, wie z.B. amazon, iCloud, twitter usw. einen servlet container hast, dessen servlets direkt log4j benutzen und direkt public reachable sind?*

Aber wie im Fussball: Alle am Stammtisch wissen es besser und er ist ja im IT-Security Bereich, DER muss es ja wissen!!11

* Und nein, das war kein Rant. Die waren wirklich alle betroffen. iCloud z.B. beim Login, Amazon bei der Suche ...

 

[Kommando]

War die letzte Woche schon im Urlaub. Nix mitbekommen. Bin ziemlich entspannt, da weiterhin im Urlaub. Hab auch keine Lust mich gerade einzulesen. ✌️😁

 

[schmalband]

Mindestens 100 verwundbare Systeme. Auf Grund des Umstandes, dass wir die Sonicwalls auch als Router für die internen Netze und nicht nur zum Internet nutzen, haben die Sonicwalls mal wieder ihr Geld verdient.

 

[Neodar]

Musst du als User ja auch nicht, aber du kannst dich bei den von dir genutzten Produkten an den Hersteller wenden.

Ja klar, ich schreib mal schnell hunderte Hersteller diverser Software an, die auf meinem System installiert ist.

Das ist doch überhaupt nicht praktikabel.

 

[SoDaTierchen]

Wir hatten beruflich sehr viel mit log4j zu tun. Das absichern der eigenen Systeme ging relativ schnell und einfach, aber die Kommunikation mit den Softwareherstellern und ganz besonders den Kunden war zeitaufwendig. Unsere Kunden haben oft keine eigene IT und deren Systemhäuser haben sich unterschiedlich intensiv darum gekümmert. Es war viel Kommunikation nötig, durch die sehr unterschiedlichen Wissenstände und Motivationen war das anstrengend.

Zwischenfälle haben wir glücklicherweise keine gehabt.

 

[Piktogramm]

@floh667
Für BWL studiertes Management klingt das Lied aus der IT-Sec immer gleich: "Es ist alles furchtbar kaputt, wir brauchen mehr gute Leute, mehr Platz, mehr Geräte, mehr Software, mehr Fortbildung und höheres Gehalt wäre auch nett". Wenn IT-Probleme bis zur Tagesschau hochköcheln ist hingegen äußerst ungewohnt.
Und wirklich erklären ist schwer, in einer größeren Abteilung deren IT-Sec von embedded bis zum großem uralt Mainframe alles abdeckt verstehen sich die Kollegen in der Abteilung oft schon nicht, geschweige denn, dass Probleme leicht erklärbar waren. Die Chance da ausreichend nuanciert dem fachfremden Management etwas zu vermitteln..

 

[floh667]

@foo_1337 @Piktogramm
Okay vielen Dank für die Erklärung

 

[chr1zZo]

Ein paar Anrufe mit Überprüfungsbedarf, aber ansonsten machen Sophos XG/XGS nen guten Job Da wir die Systeme auch aktiv 24/7 Monitoren und wissen anhand von Dokumentationen, was welcher Kunde nutzt an Software, war das schnell geprüft.

 

[Piktogramm]

[...] Ein Freund von mir arbeitet im IT-Security-Bereich und er hat recht ausgiebig darüber rumgeranted, dass den anderen 15 Hochrisiko-Lücken PRO TAG nicht genauso viel Aufmerksamkeit zu Teil wird.

Habe meinen Post verfasst und das nicht gesehen, es passt aber zum:

@floh667
[...]klingt das Lied aus der IT-Sec immer gleich: "Es ist alles furchtbar kaputt, wir brauchen mehr gute Leute, mehr Platz, mehr Geräte, mehr Software, mehr Fortbildung und höheres Gehalt wäre auch nett"

Wobei log4shell derart simpel auszunutzen ist und gleichzeitig weit verbreitet, dass das Problem wirklich viel furchtbarer kaputt ist als gewöhnlich.

 

[codengine]

Hotfix-Release und ein handischer Backport der Fixes auf eine ältere log4j Version.

 

[xexex]

Die waren wirklich alle betroffen. iCloud z.B. beim Login, Amazon bei der Suche ...

Alle? War Google betroffen oder Microsoft?
https://security.googleblog.com/2021/12/apache-log4j-vulnerability.html
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-44228

Hier wurde zwar durchaus zurecht ein großes Tamtam um die Sicherheitslücke gemacht und mit Sicherheit hat diese Lücke für die meisten ein höheres Potenzial zur Ausnutzung gehabt, als alle Spectre und Meltdown Varianten zusammen. Betroffen waren trotzdem nur Vergleichsweise wenige Produkte und oft dazu auch nur ältere Versionen.

 

[Boandlgramer]

MediathekView hat gedrängelt, ein Update durchzuführen...

 

[foo_1337]

Alle? War Google betroffen oder Microsoft?

Schön, dass du mein Sternchen zitierst, aber nicht die Aufzählung hinter der das Sternchen war. Für die galt das nämlich.
Und ja, auch MS war betroffen, denn Linkedin gehört ihnen.

Betroffen waren trotzdem nur Vergleichsweise wenige Produkte und oft dazu auch nur ältere Versionen.

Definiere wenige Produkte. Wie selten siehst du Tomcat/Jetty/Jboss/Wildfly Webapps an? Und die gibt es zuhauf public reachable. Zu meiner kleinen Liste oben fallen mir aus dem Stehgreif noch Tesla, Cloudflare, Steam oder Tencent ein. Alles public reachable und ausnutzbar. Aber hey, nutzt doch keiner den Kram
Und woher kommt das mit den älteren Versionen? Hast du dich mit dem Thema eig genauer befasst? Zu dem Zeitpunkt (9./10. Dez.) als die Lücke bekannt wurde, hat das log4j "Team" erst die 2.15 veröffentlicht.