Ein kritischer Zero-Day-Exploit in dem beliebten Java-basierten Logging-Framework Log4j wurde letzten Freitag Nachmittag veröffentlicht. Da die Schwachstelle leicht auszunutzen ist und weit verbreitet ist, hat das BSI die höchste Warnstufe für diese Sicherheitslücke vergeben.
Die Schwachstelle wird als CVE-2021-22448 geführt und wurde mit einem CVSS-Score von 10,0 bewertet. Falls du es nicht weißt: Das ist die höchstmögliche Punktzahl. Kein Wunder, dass die Sicherheitslücke es sogar in die großen Nachrichtenkanäle geschafft hat und viele IT-Sicherheitsexperten ihre Wochenendpläne absagen mussten.
Wir haben die Ankündigungen der Softwarehersteller das ganze Wochenende über verfolgt und eine Bewertung unserer eigenen Infrastruktur vorgenommen. Da die meiste Software, die wir verwenden, entweder Go- oder PHP-basiert ist, wird Log4j in Flownative Beach nicht verwendet.
Wir stellen unseren Kunden auch Elasticsearch-Server zur Verfügung, die Java-basiert sind. Keine dieser Elasticsearch-Instanzen verwendete jedoch eine Version, mit der die Schwachstelle der Remote-Befehlsausführung ausgenutzt werden konnte. Wir haben die Instanzen, auf denen Elasticsearch 6 läuft, neu konfiguriert, um eine mögliche Offenlegung von Informationen zu verhindern.
Daher ist zum jetzigen Zeitpunkt kein Teil der Infrastruktur von Flownative von diesem Zero-Day-Exploit betroffen. Sollten neue Informationen unsere Einschätzung ändern, werden wir diesen Beitrag aktualisieren und unsere Kunden bei Bedarf informieren.