Kritische Schwachstelle in JAVA log4j und Ihr ATOSS Produkt  

Es ist in allen Nachrichten: es wurde eine Sicherheitslücke in einer weit verbreiteten JAVA-Software-Komponente entdeckt. Diese Sicherheitslücke wird generell als hochkritisch eingestuft. Seit der Bekanntgabe arbeitet ein erstklassiges Team von ATOSS Entwicklern und IT- und Cloud-Experten mit Hochdruck daran, diese Schwachstelle vollständig zu schließen. Wir gehen davon aus, dass wir unseren vollen Verteidigungszustand schnell wiederherstellen können. 

Dabei richten wir unsere Aktivitäten tagesaktuell an den Empfehlungen und Richtlinien der relevanten Sicherheitsbehörden (Bundesamt für Informationssicherheit - BSI) aus: BSI - Kritische Schwachstelle in Java-Bibliothek log4j (bund.de)

Um Sie immer up-to-date zu halten, veröffentlichen wir ab sofort neue Sicherheitshinweise und anstehende Updates auf dieser Sonderseite.

Newsfeed

  • 05.01.2022 I log4j I betreffend die neue Schwachstelle NVD - CVE-2021-44832 (nist.gov)

    Am 28. Dezember wurde eine neue Log4j Medium Schwachstelle unter NVD - CVE-2021-44832 (nist.gov) veröffentlicht.

    Unsere ATOSS Spezialisten haben sich seither eingehend mit diesen Aspekten beschäftigt und können nach aktuellem Kenntnisstand kein realistisches Bedrohungsszenario für unsere ATOSS Produkte bei Parametrisierungen innerhalb des üblichen Standards zu reproduzieren. Um dennoch eine Bedrohungslage anzunehmen, müssten schon ungewöhnliche Konfigurationen in Verbindung mit einem hochprivilegierten berechtigten Nutzer verwendet worden sein. Darüber hinaus müssten für eine Angreifbarkeit in einigen Fällen interne Voraussetzungen in den ATOSS-Produkten erfüllt sein, die nicht erkennbar gegeben sind. 

    Vor diesem Hintergrund geht ATOSS derzeit davon aus, dass die ATOSS-Produkte nicht betroffen sind. Nichtsdestotrotz bereitet ATOSS weitere regelmäßige Updates für die log4j Bibliothek (Version 2.17.1) vor, so dass unsere Aussagen, die wir am 21.12.2021 in unseren Newsfeeds gemacht haben, weiterhin für alle ATOSS Produkte fortgelten.

    Um Missverständnisse zu vermeiden,
    für alle Kunden - die als Kunde der ATOSS Time Control das Sicherheitsupdate vom 21.12.2021 bereits installiert haben oder als Kunde der ATOSS Startup Edition oder ATOSS Staff Efficiency ein Sicheheitsupdate, wie in unserem Newsfeed vom 21.12.2021 beschrieben, bereits angefordert haben, besteht bis auf weiteres kein neuer Handlungsbedarf. 

  • 21.12.2021 I Security UPDATE zu JAVA log4j I ATOSS Staff Efficiency Suite I ATOSS Startup Edition

    Hiermit möchten wir Sie über unsere aktuelle Einschätzung zur Bedrohungslage wie folgt informieren:

    Bekannte Schwachstelle (CVE-2021-44228)

    NVD - CVE-2021-44228 (nist.gov)

    CVE-2021-44228 ist die ursprüngliche hochkritische Schwachstelle „log4shell“, die den Alarmzustand ROT des BSI ausgelöst hat. 

    Von dieser Schwachstelle sind auch Ihre ATOSS Produkte betroffen. Mit unserem Mailing vom 13.12.2021 haben wir Ihnen bereits eine Mitigation des bekannten Risikos durch entsprechende Konfiguration mit dem Parameter Dlog4j2.formatMsgNoLookups=true empfohlen. 

    Diese Konfigurationseinstellung wird dringend empfohlen, bis ein Update, das eine neue korrigierte Version der log4j Programmbibliothek enthält, eingespielt wird. 

    Nach den veröffentlichten Informationen ist die kritische Funktionalität ab log4j Version 2.16.0 nicht mehr enthalten. Gleichwohl bereitet ATOSS weitere Aktualisierungen (Version 2.17.0) vor.

    Für Ihr ATOSS Produkt ist ab sofort ein Update erhältlich, das eine korrigierte Version der Bibliothek log4j enthält. 

    Wir empfehlen Ihnen dringend, dieses Update einzuspielen. 

    Das Update können Sie hier direkt anfordern: Log4j Security Update 12/2021

    Bekannte Schwachstellen (CVE-2021-45046, CVE-2021-45105)

    NVD - CVE-2021-45046 (nist.gov)

    NVD - CVE-2021-45105 (nist.gov)

    Diese beiden Schwachstellen sind in Folge der ursprünglichen Schwachstelle (CVE-2021-44228) aufgedeckt worden. Hierbei handelt es sich um Angriffsmöglichkeiten, die nur ausnutzbar sind, wenn zusätzliche Voraussetzungen erfüllt sind. 

    Unsere ATOSS Spezialisten haben diese Aspekte detailliert untersucht und können nach aktuellem Kenntnisstand kein realistisches Szenario für unsere ATOSS Produkte bei Parametrisierungen innerhalb des üblichen Standards nachvollziehen. Um gleichwohl eine Bedrohungslage anzunehmen, müssten schon unübliche Konfigurationen zum Einsatz gekommen sein. Darüber hinaus müssten für eine Angreifbarkeit in einigen Fällen interne Voraussetzungen in den ATOSS Produkten erfüllt sein, die nicht vorliegen. Vor diesem Hintergrund geht ATOSS derzeit davon aus, dass die ATOSS Produkte nicht betroffen sind.

    Nichtsdestotrotz möchten wir Ihnen ein Update auf die aktuelle Version unbedingt empfehlen.

    Für Ihr ATOSS Produkt ist ab sofort ein Update erhältlich.

    Das Update können Sie hier direkt anfordern: Log4j Security Update 12/2021
     

  • 21.12.2021 I Security UPDATE zu JAVA log4j I ATOSS Time Control

    Hiermit möchten wir Sie über unsere aktuelle Einschätzung zur Bedrohungslage wie folgt informieren:

    Bekannte Schwachstelle (CVE-2021-44228)

    NVD - CVE-2021-44228 (nist.gov)

    CVE-2021-44228 ist die ursprüngliche hochkritische Schwachstelle „log4shell“, die den Alarmzustand ROT des BSI ausgelöst hat. 

    Von dieser Schwachstelle sind auch Ihre ATOSS Produkte betroffen. Mit unserem Mailing vom 13.12.2021 haben wir Ihnen bereits eine Mitigation des bekannten Risikos durch entsprechende Konfiguration mit dem Parameter Dlog4j2.formatMsgNoLookups=true empfohlen. 

    Diese Konfigurationseinstellung wird dringend empfohlen, bis ein Update, das eine neue korrigierte Version der log4j Programmbibliothek enthält, eingespielt wird. 

    Nach den veröffentlichten Informationen ist die kritische Funktionalität ab log4j Version 2.16.0 nicht mehr enthalten. Gleichwohl bereitet ATOSS weitere Aktualisierungen (Version 2.17.0) vor.

    Für Ihr ATOSS Produkt „ATOSS Time Control" ist ab sofort ein Update erhältlich, das eine korrigierte Version der Bibliothek log4j enthält. 

    Wir empfehlen Ihnen dringend, dieses Update einzuspielen. 

    Das Update steht in der Weblounge unter Release History zum Download bereit.

    Bekannte Schwachstellen (CVE-2021-45046, CVE-2021-45105)

    NVD - CVE-2021-45046 (nist.gov)

    NVD - CVE-2021-45105 (nist.gov)

    Diese beiden Schwachstellen sind in Folge der ursprünglichen Schwachstelle (CVE-2021-44228) aufgedeckt worden. Hierbei handelt es sich um Angriffsmöglichkeiten, die nur ausnutzbar sind, wenn zusätzliche Voraussetzungen erfüllt sind. 

    Unsere ATOSS Spezialisten haben diese Aspekte detailliert untersucht und können nach aktuellem Kenntnisstand kein realistisches Szenario für unsere ATOSS Produkte bei Parametrisierungen innerhalb des üblichen Standards nachvollziehen. Um gleichwohl eine Bedrohungslage anzunehmen, müssten schon unübliche Konfigurationen zum Einsatz gekommen sein. Darüber hinaus müssten für eine Angreifbarkeit in einigen Fällen interne Voraussetzungen in den ATOSS Produkten erfüllt sein, die nicht vorliegen. Vor diesem Hintergrund geht ATOSS derzeit davon aus, dass die ATOSS Produkte nicht betroffen sind.

    Nichtsdestotrotz möchten wir Ihnen ein Update auf die aktuelle Version unbedingt empfehlen.

    Für Ihr ATOSS Produkt „ATOSS Time Control" ist ab sofort ein Update erhältlich.

    Das Update steht in der Weblounge unter Release History zum Download bereit.
     

  • 16.12.2021  | log4j

    Cybersicherheit - Sicherheitslücke in der Java-Bibliothek log4j
    (Log4Shell, CVE-2021-44228 und CVE-2021-45046)

    Wie Sie sicher in den Medien bereits mitbekommen haben, wurde am 10. Dezember 2021 eine kritische IT Sicherheitslücke der weit verbreiteten JAVA-Bibliothek „log4j“ (CVE-2021-44228) bekannt. 

    ATOSS ist sich der Kritikalität der bekannt gewordenen Sicherheitslücke bewusst und ist unmittelbar seit der Bekanntgabe dieser Schwachstelle dabei, die betroffenen ATOSS Produkte und ATOSS Cloud Services gegen potentielle Angriffe bestmöglich abzusichern. Wir nehmen dieses Problem sehr ernst. Unser erstklassiges Team von Entwicklern und IT- und Cloud-Experten arbeitet mit Hochdruck daran, die Schwachstelle vollständig zu schließen. Wir gehen davon aus, dass wir unseren vollen Verteidigungszustand schnell wiederherstellen können. 

    Was sind unsere Reaktionen auf diese Schwachstelle zur Behebung des Problems?

    Als Reaktion auf Sicherheitsprobleme agieren wir über mehrschichtige Verteidigungsansätze, die für die Aufrechterhaltung der Sicherheit der Daten unserer Kunden essentiell sind. 

    • Wir haben in allen relevanten Unternehmensbereichen die Kontroll- und Detektionsfähigkeit unserer Systeme erhöht und die gezielte Überwachung auf das konkrete Angriffsszenario verstärkt.
    • Parallel erarbeiten unsere Entwickler Patches/Fixes für die ATOSS Produkte, die wir in Kürze in Abhängigkeit von weiteren notwendigen Aktualisierungen und Qualitätssicherheitsmaßnahmen der Java-Bibliothek über die bekannten Releasewege veröffentlichen werden. 
    • Wir richten unseren Aktivitäten tagesaktuell an den Empfehlungen und Richtlinien der relevanten Sicherheitsbehörden (Bundesamt für Informationssicherheit - BSI) aus. Zugleich informieren wir uns über Sicherheitshinweise und Lösungen aus vertrauenswürdigen Quellen.
    • ATOSS aktualisiert und veröffentlicht neue Sicherheitshinweise und anstehende Updates laufend in der Rubrik „Security“ auf der ATOSS Website www.atoss.com, sobald weitere Informationen vorliegen.
    • Nach den uns vorliegenden Informationen und Untersuchungen kann nach aktueller Einschätzung die weitere Schwachstelle der JAVA-Bibliothek „log4j“ (CVE-2021-45046) für die ATOSS Produkte in der üblichen Konfiguration der Logging-Schnittstelle nicht ausgenutzt werden.

    Im Lichte der getroffenen Maßnahmen konnten wir bisher keinerlei bösartige Zugriffe identifizieren.

    ATOSS Sicherheitshinweise zu den ATOSS Produkten

    Wir empfehlen unseren Kunden weiterhin, alle ihre Anwendungen und Dienste zu aktualisieren, indem sie Updates, die wir Ihnen zur Verfügung stellen, einspielen und weiterhin den gut durchdachten Empfehlungen und Richtlinien des BSI befolgen. Diese werden hier laufend aktualisiert.

    ATOSS aktualisiert und veröffentlicht neue Sicherheitshinweise sowie anstehende Updates laufend in der Rubrik „Security“ auf der ATOSS Website www.atoss.com, sobald weitere Informationen vorliegen. Bitte informieren Sie sich daher regelmäßig auf unserer Unternehmenswebsite über alle veröffentlichten Sicherheitshinweise zu den ATOSS Produkten.

    Sicherheitsmeldungen über die Entdeckung eines konkreten Vorfalls oder weiterer Schwachstellen teilen Sie uns bitte ausschließlich in einer E-Mail an security@atoss.com, einschließlich der relevanten Inhalte zur Sachlage, mit. 

    ATOSS Sicherheitshinweise zu gelieferter Hardware/Terminals und Fremdsoftware

    Aufgrund der vorhandenen Fragestellungen haben wir auch Kontakt mit unseren Hauptanbietern für Terminals aufgenommen. Die folgende Konfigurations- und Kommunikationssoftware ist nach Angaben dieser Hersteller unbedenklich:

    • datafox Studio, datafox Talk
    • dormakaba BCOMM
    • PCS INTUS RemoteSetup, INTUS RemoteConf, INTUS PS Setup, INTUS PS SE, INTUS FTC und die INTUS Geräte-Firmware sowie VISIT und ID.office

    Sollten Sie darüber hinaus die folgenden Programme installiert haben, so führen Sie bitte folgende Anpassungen durch:

    • PCS INTUS COM 3.4/3.5: Bei INTUS COM 3.4/3.5 ist der INTUS COM HTTPS Server abzusichern, indem die system property log4j2.formatMsgNoLookups auf true eingestellt wird. Eine Schritt-für-Schritt Anleitung dazu finden Sie anbei. Sie steht auch zum Download im PCS Support Center bereit.
    • DEXICON 5.4: Bei DEXICON 5.4 ist der AMS-OSS-Driver und der AMS-Kernel abzusichern, indem die system property log4j2.formatMsgNoLookups auf true eingestellt wird. Eine Schritt-für-Schritt Anleitung dazu finden Sie anbei. Sie steht auch zum Download im PCS Support Center bereit.

    Bitte kontaktieren Sie bei weiterer Software die betreffenden Hersteller direkt.

    Wir bedanken uns für die Beachtung.

  • 13.12.2021  | log4j | ATOSS Staff Efficiency Suite | ATOSS Startup Edition

    Sehr geehrter ATOSS Kunde,

    es ist in allen Nachrichten: es wurde eine Sicherheitslücke in einer weit verbreiteten JAVA-Software-Komponente entdeckt. Diese Sicherheitslücke wird generell als hochkritisch eingestuft. Hier die aktuelle Information des BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3

    Auch Ihr ATOSS Produkt ist potentiell gefährdet. In den kommenden Tagen wird ATOSS ein Update zur Verfügung stellen. Kurzfristig ist aber bereits durch eine Konfigurationsanpassung ein voller Schutz des Systems realisierbar. Wir empfehlen Ihnen, diese Konfigurationseinstellungen umgehend vorzunehmen.

    Dazu ist in der Datei ASES\server\ASESxy\tomcat\conf\wrapper.conf auf jedem konfigurierten Knoten eine Ergänzung am Ende der Datei vorzunehmen. Bitte beachten Sie, dass es für jede unter \ASES\server konfigurierte Funktion gilt, also auch für \ASES\server\AMISxy\tomcat\conf\wrapper.conf oder auch ASES\server\ABCxy\tomcat\conf\wrapper.conf, wenn vorhanden:

    # Disable Log4j message lookups
    wrapper.java.additional.XY=-Dlog4j2.formatMsgNoLookups=true

    Statt “XY” ist die nächst höher folgende Zahl in der Reihe der bereits vorhandenen Einträge zu verwenden.

    Ein Neustart der konfigurierten Knoten ist notwendig, damit diese Änderung wirksam wird.
    Für Rückfragen steht Ihnen die ATOSS Hotline zur Verfügung.

    Mit freundlichen Grüßen
    Ihr ATOSS Team
     
    PS: Wenn Ihre ATOSS Staff Efficiency Suite Version < 13 ist, dann setzen Sie sich bitte auf alle Fälle mit uns in Verbindung!
     

  • 13.12.2021  | log4j | ATOSS Time Control

    Sehr geehrter ATOSS Kunde,

    es ist in allen Nachrichten: es wurde eine Sicherheitslücke in einer weit verbreiteten JAVA-Software-Komponente entdeckt. Diese Sicherheitslücke wird generell als hochkritisch eingestuft. Hier die aktuelle Information des BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3

    Auch Ihr Produkt ATOSS Time Control ist potentiell gefährdet. In den kommenden Tagen wird ATOSS ein Update zur Verfügung stellen. Kurzfristig ist aber bereits durch eine Konfigurationsanpassung ein voller Schutz des Systems realisierbar. 

    Wir empfehlen Ihnen, diese Konfigurationseinstellungen umgehend vorzunehmen. Wir schließen uns hier der BSI-Empfehlung an. 

    Bitte setzen Sie – wie hier im Dokument auf Seite 3 Mitte unter „Update 2“ beschrieben – die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf den Wert „true“.

    Die Umgebungsvariable sollte als Systemumgebungsvariable gesetzt werden, sofern ATOSS Time Control bzw. der AMIS (ATOSS Mobile Information Server) als Dienst betrieben werden. Sofern für den Dienst ein spezielles Benutzerkonto verwendet wird, kann die Umgebungsvariable auch für diesen Benutzer gesetzt werden. Die Umgebungsvariable muss auch gesetzt werden, wenn Sie ATOSS Time Control als Anwendung oder im Container betreiben.

    Anschließend ist ein Neustart aller Komponenten der ATOSS Time Control Lösung notwendig, damit diese Änderung wirksam wird.

    Für Rückfragen steht Ihnen die ATOSS Hotline zur Verfügung.
    Mit freundlichen Grüßen
    Ihr ATOSS-Team
     
    PS: Wenn Ihre ATOSS Time Control-Version < 9.5 ist, dann setzen Sie sich bitte auf alle Fälle mit uns in Verbindung!