Am 09.12.2021 wurde eine kritische Sicherheitslücke in der Komponente „log4j“ veröffentlicht, die in bestimmten Konstellationen eine Remote Code Execution (RCE) ermöglicht. Das heißt, dass der von Angreifern übermittelte Code mit den Berechtigungen der Anwendung ausgeführt werden kann, was unter Umständen auch eine vollständige Übernahme des jeweiligen Servers ermöglicht. Der Zero-Day-Exploit wurde am 10.12.2021 als CVE erfasst (https://nvd.nist.gov/vuln/detail/CVE-2021-44228). Die Ausnutzung der Lücke ist sehr einfach möglich. Das BSI stuft die Lücke mit der Warnstufe rot (sehr hohes Risiko) ein.
Auch wir als Star Finanz haben uns das Thema kritisch angeschaut und kommen aktuell zu dem Ergebnis, dass unsere eigenen Serverdienste nicht und eigene Anwendungen bzw. im Auftrag entwickelte Anwendungen nicht direkt betroffen sind.
Wir prüfen weiterhin alle externen Dienste, die ebenfalls in den eigenen Anwendungen, bzw. im Auftrag entwickelten Anwendungen eingebunden sind, auf mögliche Betroffenheit. Zum aktuellen Zeitpunkt liegen noch nicht von allen Anbietern verwendeter Dienste Aussagen hierüber vor. Bisher erhaltene Rückmeldungen bestätigen, dass derzeit keine Betroffenheit vorliegt.
Sofern sich bei weiteren Rückmeldungen an diesen Aussagen etwas ändert, werden wir an dieser Stelle informieren. Wir beobachten die Situation und sich möglicherweise ergebene Änderungen weiterhin intensiv und unternehmen alles notwendige zum Schutz gegen die Bedrohung.
Titelbild: matejm (istock)