Am 09.12.2021 wurde eine kritische Sicherheitslücke in der Komponente „log4j“ veröffentlicht, die in bestimmten Konstellationen eine Remote Code Execution (RCE) ermöglicht. Das heißt, dass der von Angreifern übermittelte Code mit den Berechtigungen der Anwendung ausgeführt werden kann, was unter Umständen auch eine vollständige Übernahme des jeweiligen Servers ermöglicht. Der ZDE wurde am 10.12.2021 als CVE erfasst (https://nvd.nist.gov/vuln/detail/CVE-2021-44228). Die Ausnutzung der Lücke ist sehr einfach möglich. Das BSI stuft die Lücke mit der Warnstufe rot (sehr hohes Risiko) ein.
Die Star Finanz hat bereits ihre eigenen Anwendungen, bzw. im Auftrag entwickelte Anwendungen und Serverdienste mit den folgenden Ergebnissen auf die Betroffenheit geprüft:
- Eigene Serverdienste: Nicht betroffen
- Eigene Anwendungen, bzw. im Auftrag entwickelte Anwendungen: Nicht direkt betroffen, da in den Applikationen kein log4j im Einsatz ist oder aufgrund von Konfigurationen, Sicherheitsmaßnahmen oder der Art des Einsatzes in einer Applikation anstatt auf einem im Internet erreichbaren Server keine direkte Betroffenheit besteht
Weiterhin prüft die Star Finanz alle externen Dienste, die ebenfalls in den eigenen Anwendungen, bzw. im Auftrag entwickelten Anwendungen eingebunden sind, auf die Betroffenheit. Zum aktuellen Zeitpunkt liegen allerdings noch nicht von allen Anbietern verwendeter Dienste Aussagen über die Betroffenheit vor. Bisher erhaltene Rückmeldungen bestätigen, dass aktuell keine Betroffenheit vorliegt.
Sofern sich bei weiteren Rückmeldungen an diesen Aussagen etwas ändert, startet eine erneute Kommunikation. Sofern keine weitere Meldung versendet wird, kann auch nach weiteren Rückmeldungen keine Betroffenheit festgestellt werden.
Die Star Finanz beobachtet die Situation und sich möglicherweise ergebene Änderungen weiterhin und unternimmt alles notwendige zum Schutz gegen die Bedrohung.
Ihr Star Finanz Team