Log4j: mailbox.org ist nicht betroffen
Seit Ende letzter Woche sorgt ein kleines Open-Source-Werkzeug namens "log4j" für Furore und erreichte am Wochenende sogar die Tagesschau. Spätestens, als am Samstag auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) die höchstmögliche Warnstufe ausrief, brach in der IT-Branche große Sorge aus. Tausende Unternehmen sind betroffen, Benutzerdaten aber auch Administratoren-Accounts sind in Gefahr.
Auch mailbox.org bekommt derzeit viele Anfragen von besorgten Anwendern - aber wir können Entwarnung geben, wie sind durch log4j nicht gefährdet.
Unsere IT-Sicherheitsdienstleister warnten früh am Morgen
Noch bevor log4j am Freitag Mittag begann, seine Kreise über die Nachrichtenticker zu ziehen, wurden wir schon morgens um 9:23 Uhr von unseren eigenes dafür beauftragten IT-Security-Dienstleistern Zero BS über das Problem proaktiv informiert.
Unser Team begann dann umgehend mit der Überprüfung aller potentiell betroffenen Systeme. Alle wichtigen Systeme "in der ersten Reihe" (OX, Atlassian, Jitsi) waren für log4j nicht anfällig, weil entweder log4j nicht zum Einsatz kam oder von uns von vornherein in einer Art und Weise konfiguriert war, dass die Schwachstelle nicht ausgenutzt werden konnte. An einem eher unwichtigem System (ELK-Stack) in der zweiten Reihe haben wir eine potentielle Gefährdung gefunden, dieses konnten wir jedoch bereits Freitag gegen 13 Uhr durch eine Konfigurationsanpassung entschärfen. - Unser Team hat die Lage am Wochenende weiter beobachtet und analysiert und hat keine weiteren Gefährdungen gefunden.
Kundendaten und die Sicherheit unserer Systeme waren nach unserer Einschätzung darum zu keinem Zeitpunkt ernsthaft betroffen.
Der technische Hintergrund von log4j
Ende letzter Woche veröffentlichte das Randoori Attack Team die mittlerweile als CVE-2021-44228 bekannt gewordene Sicherheitslücke in dem Java-Tool Log4j. Unberechtigte Angreifer können sich mit Hilfe der Log4j-Versionen 2.0 bis 2.14.1 erweiterte Zugriffsrechte verschaffen, einfach indem sie eine bösartige URL mit Befehlen an den Server schickten, die dieser dann beispielsweise mit Administratorrechten ausführt. Zwar ist die Lücke seit Donnerstag, den 9.12.2021 durch Version 2.15 von Log4j gefixt, doch sind nun Aktualisierungen der unendlich vielen Installationen auf den Servern dieser Welt notwendig.