Log4j – Was tun als Website- oder Shop-Betreiber
Das BSI – Bundesamt für Sicherheit in der Informationstechnik – hat die Ampel auf ROT gestellt. Die Bedeutung der Sicherheitslücke „log4j“ gilt damit als sehr hoch. Wir widmen uns der Frage, wie sicher Deine Website oder Dein Shop bei uns ist.
von Michael
|
15. December 2021
15.12.2021
|
Lesedauer: ca. 3 Minuten
Log4J – seit einer Woche ist dieses neue, besonders gemeine Sicherheitsproblem bekannt. Doch was können Website-Betreiber jetzt tun?
Wie Heise Anfang dieser Woche schrieb, handelt es sich dabei um eine sehr reale Gefahr: „Das Ausnutzen der Lücke ist tatsächlich denkbar einfach, die Zahl der anfälligen Systeme unüberschaubar und Sicherheitsfirmen sehen bereits Log4j-Angriffe von über 500 IP-Adressen.“ Weiter heißt es da, dass es sich bei der Mehrzahl der Angriffe um Fingerprinting handelt, also zunächst einmal den Versuch, Systeme zu finden, welche die Sicherheitslücke enthalten.
In der nächsten, schon laufenden Welle werden nun diverse Hacker versuchen, eine Hintertür in diese Systeme einzubauen, über die sie auch zu einem späteren Zeitpunkt noch eindringen können, wenn die Log4J-Lücke bereits wieder geschlossen ist.
Die eigentlichen Folgen der Schwachstelle werden wir also vermutlich nach Weihnachten sehen, mehrheitlich erst im Jahr 2022.
WIE BEURTEILEN WIR DIE GEFAHR FÜR KUNDEN VON BRANDPFEIL?
Ob sich unsere Kunden Gedanken um das Thema machen müssen, hat uns bewegt und ich habe daher unser Web Development um ein Statement gebeten. Folgendes habe ich erfahren.
TLDR;
Unser Fokus in der Entwicklung und im Betrieb von Web-Anwendungen liegt auf Systemen / Backends auf Basis von PHP. Diese nutzen keine Java-Komponenten, also auch kein log4j. Daher dürften die Websites und Shops unserer Kunden zu 95% keine Sicherheitslücke aufweisen. ABER: Drittsysteme wie Zahlungsanbieter, Warenwirtschafts- bzw. ERP-Systeme und Hoster könnten von log4j betroffen sein. Wir empfehlen unseren Kunden, die Antennen betreffend dieses Thema auf Empfang zu lassen und kommen bei Bedarf direkt auf sie zu.
SHOPSYSTEME UND CMS
Die von uns genutzten Systeme für Online-Shops und Websites (CMS), also
Shopware
Shopify
TYPO3
WordPress
Kirby
(teilweise noch REDAXO)
basieren allesamt auf PHP ohne JAVA-Komponenten und sind daher von der Sicherheitslücke nicht direkt betroffen.
Nach unserem Wissenstand nutzen wir momentan keine Funktionalitäten, die Probleme bereiten könnten.
PLUGINS UND EXTENSIONS
Wir können NICHT ausschließen, dass Drittanbieter-Addons (Extensions, Plugins) davon betroffen sein könnten, da wir keinen Einblick in die genutzten Libraries haben und nicht direkt sehen können, ob diese potentiell betroffen sein können (sprich ob diese JAVA nutzen). Die Wahrscheinlichkeit geht aber bei reinen System- oder Theme-Erweiterungen der CMS bzw. Shopsysteme (ohne Kommunikation zu Drittsystemen) gegen null.
LOKALE SYSTEME UND ANWENDUNGEN
Lokale Entwicklungsumbebungen und folgende Systeme sind nicht / nicht mehr betroffen:
Bitbucket, siehe https://confluence.atlassian.com/security/multiple-products-security-advisory-log4j-vulnerable-to-remote-code-execution-cve-2021-44228-1103069934.html
Shopware Core, siehe Security advisory E-Mail vom 13.12.21
TYPO3 Core, siehe Security advisory E-Mail vom 13.12.21
WordPress Core, siehe https://www.comicschau.de/news/wordpress-log4j-sicherheitsluecke-519297/
Zoho Vault Passwortmanagement, siehe https://help.zoho.com/portal/en/community/topic/update-on-the-recent-apache-log4j-vulnerability
INDIVIDUELLE ANWENDUNGEN
Individuelle Anwendungen entwickeln wir auf Basis von PHP, meist in Kombination mit LARAVEL und weiteren Frameworks für CSS und JS. Die von uns entwickelten Anwendungen nutzen KEIN JAVA und sind daher ebenfalls nicht von der log4j-Lücke betroffen.
HOSTING
Im Bereich Hosting dürfte bei nahezu allen Hostern Update-Bedarf bestehen, da auch Apache Webserver von dem Problem betroffen sind. Erste Kommunikationsstränge bzgl. des Problems:
Raidboxes weist auf Nachfrage darauf hin, dass die eigenen Systeme log4j nicht nutzen sowie darauf, dass Websites, Plugins und Themes sicher sind (kein JAVA, kein log4j, s.o.). Man empfiehlt aber, sich mit Zahlungsdienstleistern, CDN-Providern, etc. in Verbindung zu setzen, um weitere mögliche Schwachstellen abzuklären
Hetzner hier haben wir als Antwort auf unsere Anfrage folgende Auskunft erhalten: „Unsere Produkte sind nicht direkt betroffen von dieser Schwachstelle. Auf die Software, die kundenseitig installiert wird, haben wir jedoch keinen Einfluss. Daher muss das selbständig geprüft werden.“
IONOS hat „bereits Sicherheitsmaßnahmen ergriffen“: https://www.ionos.de/hilfe/kritische-sicherheitsluecke-in-der-java-logging-bibliothek-log4j/
MITTWALD sieht nur „bei kleinsten Teilen“ der Systemstruktur Gefahrenpotenzial: https://mittwald-status.de/incident/132
AWS Amazons Hostingdienst hat Gas gegeben und für eine ganze Reihe von Komponenten Patches durchgeführt: https://aws.amazon.com/de/security/security-bulletins/AWS-2021-006/
WAS WIR TUN WERDEN
Im Rahmen unserer Tätigkeiten beobachten wir die weitere Entwicklung bzgl. log4j und werden unsere Kunden auf neue Erkenntnisse hinweisen. Sollte es Neuigkeiten geben, insbesondere beim Bedarf von Updates oder Plugin-Deaktivierung, werden wir auf die betreffenden Kunden zugehen.
Das eigentlich Hosting von Websites und Shops liegt i.A. nicht in unserer Verantwortung, dafür haben unsere Kunden eigene Verträge mit den betreffenden Hostern. Wir stehen aber zur Seite.