Log4-J:

Noch nichts in der Community hierzu gefunden...😳

Sind wir alle safe?

Hat Datev gar keine Probleme mit der Schwachstelle?

Was sagen denn die Systemadministratoren hier zu dem Thema?

Oder sind wir alle schon kompromittiert?🤐

Schönen Sonntag Abend. (hoffentlich können wir morgen alle arbeiten...😉

Wie sieht's denn aus? Inwieweit sind die Telearbeitsplätze oder überhaupt die Datev betroffen?

Hallo zusammen,

Hintergrund für alle, die vielleicht nicht so tief im Thema sind: Seit Freitag, dem 10. Dezember 2021, ist eine hochkritische Schwachstelle (Log4Shell) bekannt, die zu einer extremen Bedrohungslage im Internet führt.

Auch DATEV setzt die verwundbare Softwarekomponenten (log4j) ein und ist damit potenziell betroffen. Mit Bekanntwerden der Schwachstelle haben die beteiligten Fachabteilungen auch über das Wochenende an Analyse und Bewertung der Sachlage gearbeitet. Es liegen keine Hinweise vor, dass DATEV über die Lücke angegriffen oder gar gehackt wurde.

DATEV hat umgehend zusätzliche Sicherheitsmaßnahmen umgesetzt und intensiv an der Aktualisierung der betroffenen Software gearbeitet. Gerade bei öffentlich zugänglichen Servern wurden die Empfehlungen des BSI sofort umgesetzt, um diese gegen die Angriffsmethode zu schützen.

Die weitere Entwicklung wird intensiv rund um die Uhr beobachtet, entsprechende Prüfungen werden durchgeführt und Sicherheitspatches eingespielt.

Es wird dringend empfohlen, dass auch in den Kanzleien alle für die hochkritische Schwachstelle bereitgestellten Sicherheitspatches von Herstellern zeitnah eingespielt werden, um sich bestmöglich zu schützen.

Hallo Herr Buggisch,

unsere Kanzlei setzt DATEV-ASP ein. Sind wir entsprechend Ihres nachstehendes Hinweises auch noch in der Pflicht Sicherheitspatches einzuspielen?

Ich beziehe mich auf Ihren nachfolgenden Hinweis:

"Es wird dringend empfohlen, dass auch in den Kanzleien alle für die hochkritische Schwachstelle bereitgestellten Sicherheitspatches von Herstellern zeitnah eingespielt werden, um sich bestmöglich zu schützen."

Vielen Dank und freundliche Grüße

Jens Dauen

Guten Herr Buggisch.

Auf jeden Fall Danke dass Sie hier uns schon einmal ein paar Informationen zukommen lassen.

Ein offizielles Statement von DATEV mit ein paar Hintergrundinformationen wäre natürlich sehr hilfreich, vor allem wo in der Infrastruktur von DATEV die Log4 Bibliothek zum Einsatz kommt.

Sollte es sich dabei um die Clientinstallationen handeln würden wir das natürlich gerne wissen (Wie Herr Dauen auch schon angesprochen hat) um die betroffenen System evtl. vom Netz zu nehmen oder Sicherheitsupdates einzuspielen (Wenn von DATEV welche verteilt werden sollten).

Gruß

DK

 

Herr Dauen,

für die DATEVasp Umgebung müssen Sie nichts tun. Sobald uns entsprechende Sicherheits-Updates vorliegen, werden diese für Sie eingespielt.

@all Falls Sie PARTNERasp einsetzen, wenden Sie sich bitte an Ihren Systempartner.

---

@JDauen schrieb:

Sind wir entsprechend Ihres nachstehendes Hinweises auch noch in der Pflicht Sicherheitspatches einzuspielen?

---

Ja, wenn außerhalb der DATEVasp Umgebung noch Software / Hardware existiert, die die Schwachstelle inne hat: z.B. Webex und WLAN Accesspoints von UniFi. DATEV kümmert sich nur um DATEVasp und den DATEVasp Router. Alle weiteren Arbeiten sind selbst auszuführen, wenn man keine andere Vereinbarung mit DATEV hat. 

@Christian_Buggisch: Wie sieht das mit den > 200 DATEV Partnern aus? Wird es da eine zentrale Kommunikation geben oder muss jeder selbst an den Partner herantreten? In meinem Fall speziell ingentis.  

Hallo DK,

für einige betroffene Komponenten arbeiten wir intensiv daran, kurzfristig Hotfixes zur Verfügung zu stellen. Die müssten dann natürlich zeitnah eingespielt werden. Eine Kommunikation dazu erfolgt auf den üblichen Wegen.

Hallo Herr Buggisch,

können Sie uns eine Übersicht der betroffenen Komponenten zur Verfügung stellen?

Vielen Dank

Was "einige Komponenten"?

Datev On Premises betroffen [ ] ja [ ] nein [ ] vielleicht

Und was ist mit den Arbeitsstationen?

Arbeitsstationen betroffen [  ] Ja [  ] nein  [  ] vielleicht

Und was sind die "üblichen wege"? Dass Datev betroffen ist, habe ich erst durch zielgerichtetes Nachfragen beim Support erfahren. Weil ich das hier gefunden habe: https://www.datev.de/zrrgup/license/show.do. Da steht, dass Datev log4j-api-2.14.1.jar nutzt. Nur eben nicht wo genau!

Der Supportmitarbeiter wollte gar nichts dazu sagen, weil "weil keine offiziellen Infos von Datev" und hat dann auf diese "Datev-Community" verwiesen!

BSI sagt Server mit Sicherheitslücke patchen oder abschalten. Systeme mit Lücke sind angreifbar. Das müsst ihr kommunizieren - auch wenn noch kein Patch fertig ist.

Hallo Zusammen,

wie setzen u.a. bei uns lokal Datev Belegtransfer ein und dort wird die .NET Bibliothek "Log4net.dll" in der Version 2.11.0 der Apache Software Foundation verwendet. Unseres Wissens nach enthält diese DLL die vollständigen Log4j-Funktionalitäten. Stellt der Einsatz dieser DLL in Verbindung mit Datev Belegtransfer für uns ein Sicherheitsrisiko dar bzw. wann ist mit einem Update Ihrerseits zu rechnen?

Herzlichen Dank

arbeiten wir intensiv daran, kurzfristig Hotfixes zur Verfügung zu stellen. Die müssten dann natürlich zeitnah eingespielt werden.

Ich wundere mich über die Gelassenheit. Die Lücke ist seit Freitag letzter Woche öffentlich bekannt. Das BSI hat Warnstufe Rot ausgegeben. Jetzt muß ich einmal das beA loben: seit Sonntag gefixt. Also: hoffentlich. 🤗

Die ersten Tools für den Scan sind entwickelt mehr unter

glshnu/rmm-yara4Log4j: a datto component to scan for the log4j vulnerability with yara (github.com)

Und da steht:
"!!! i cannot say yet if logpresso is a trusted source !!!"

Viel Spaß. Eine nicht ausreichend geprüfte Log4J-Lücke mit einem nicht ausreichend geprüften Scanner prüfen...

CVE-2021-44228 <- Auf das Google auf diese Seite verlinkt. Denn von Datev gibt es ja nichts offizielles!

P.S.: BSI: Da eine Ausnutzung nicht zwingend ein Nachladen von Schadcode aus dem Internet benötigt, sondern bereits mit einer einzigen Anfrage möglich ist, muss für alle verwundbaren Systeme die Angriffsfläche reduziert werden. Konkrete Schritte hierzu sind:
• Nicht zwingend benötigte Systeme abschalten. <--


BSI Update 4:

<< Zusätzlich zu der Installation von Kryptominern und der Ausnutzung durch Botnetze gibt es auch öffentliche Berichte, die auf das Nachladen von Cobalt Strike-Beacons hinweisen.

Cobalt Strike ist eine Pen-Testing-Software, die auch von

Angreifern genutzt wird, um Angriffe auf IT-Netzwerke durchzuführen.

Die Schwachstelle kann nicht nur zum Nachladen von weiterer Schadsoftware genutzt werden, sondern auch für die Offenlegung von vertraulichen Daten (z. B. API-Keys).

Hierfür ist kein Nachladen von externer Schadsoftware notwendig, sodass diese Ausnutzung mit einer Anfrage durchgeführt werden kann. >>

Quelle: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3

WENN Datev eine Schwachstelle hat, dann läßt uns DATEV hier seit Tagen im Dunklen und bastelt an einem Patch - während das oben vom BSI genannte passiert! Ich hoffe es ist nicht so!

Hallo zusammen,

vielen Dank für Ihre Fragen, auch zu einzelnen Anwendungen, die ich gut nachvollziehen kann. Ein Expertenstab bei DATEV ist rund um die Uhr damit beschäftigt, die Systeme zu sichern. So wurden wie oben schon geschrieben bei öffentlich zugänglichen Servern die Empfehlungen des BSI umgehend umgesetzt. Weitere Maßnahmen laufen. Wir bitten aber um Verständnis, dass wir uns während solcher sicherheitsrelevanter Arbeiten aus naheliegenden Gründen weder zu den Maßnahmen allgemein noch zu einzelnen Komponenten äußern. Generell lässt sich sagen, dass bei standardmäßiger Installation von DATEV on premises Anwendungen kein erhöhtes Risiko ausgeht. Dennoch stellen wir morgen und übermorgen Hotfixes zur Verfügung, die umgehend nach Veröffentlichung installiert werden sollten.

Ja, selbe Aussage von zig Hard- / Softwareherstellern. Wir haben ein Problem und wir arbeiten dran.... Updates sollen zeitnah installiert werden.

Problem: Woher soll ich wissen, welche Hard- Software betroffen ist? Ich habe diese nur installiert, nicht programmiert.  

Und die BSI Empfehlung "nicht gepatched Systeme von Netz nehmen"..  Soll ich meine Kunden in den Lockdown schicken? Weltfremd  🙄

Und die Homeoffice-PCs? Puh. bin bedient.

DATEV:

Bei mir auf dem PC wurden nach einem Test 2 DATEV-Einträge angezeigt.

c:\Program Files (x86)\DATEV\PROGRAMM\B0001429\JasperCore\jasper-spring-5.1.4.jar (?)
c:\Program Files (x86)\DATEV\PROGRAMM\K0005078\bea_client_security\bea-client-security_lib\log4j-core-2.13.3.jar

beA;

Verwendet in der neuen Version noch die Version log4j-core-2.14.1.jar (anfällig). Gibt aber ein Workaround, vielleicht haben sie diesen angewendet. 

Falls ich ich nicht mehr melden kann "schöne Weihnachten" an die Forumsuser..... 

Ein Nutzer hier schreibt, dass zwei Dateien bei ihm gefunden wurden:
<<c:\Program Files (x86)\DATEV\PROGRAMM\B0001429\JasperCore\jasper-spring-5.1.4.jar (?)
c:\Program Files (x86)\DATEV\PROGRAMM\K0005078\bea_client_security\bea-client-security_lib\log4j-core-2.13.3.jar>>

Letzteres scheint mir gar nicht gut. Kenne mich aber zu wenig aus.

Sie schreiben: "Generell" kein "erhöhtes Risiko" umd dann nachzuschieben: "Dennoch stellen wir morgen und übermorgen Hotfixes zur Verfügung, die umgehend nach Veröffentlichung installiert werden sollten."

Hotfixes ... *umgehend*. Wo doch "generell" gar nichts ist. Ist mir zu schwammig.

Mein Datev-Server ist jetzt erstmal im Lockdown. Hoffentlich nicht zu spät.

Vielen Dank für die Antworten und auch für den Hinweis, dass wir den "bösen Jungs" nicht auch noch mitteilen sollten, wo eventuelle Probleme bestehen, ist wohl auch richtig....

Die bösen Jungs setzen den Fuß in die Tür, scannen die Umgebung, finden die Lücke, nutzen sie.

Es ist längst bekannt wie man die Lücke nutzen kann - und wie einfach das ist.

Deshalb macht es auch keinen Sinn da etwas seitens Datev zu verheimlichen. Ganz im Gegenteil.

Andere Hersteller wie VMWare, Cisco etc. haben von Anfang an veröffentlicht was Sache ist.
Betroffene und nicht betroffene Produkte aufgelistet. Um die Kunden zu schützen, ihnen die Möglichkeit zu geben zu handeln.

was heisst das eigentlich im klartext, wenn wir datevnet nutzen?

so langsam erscheint es mir, als würde die datev selbst angegriffen werden können und nicht (direkt) wir.

den mailserver habe ich "gehärtet"... liegt aber zusätzlich hinter datevnet. 

der webserver liegt extern..

was für hotfixes kommen? für den datevnet router oder welche komponenten?

mcafee steht auch auf der github-liste.. deinstallieren?

veeam steht drauf.. acronis irgendwo unten drunter. solarwinds.. was auch sonst.

@boomboom 

Hallo und guten Abend,

könnten Sie bitte den Link zur Liste preisgeben. Das hilft sicherlich nicht nur mir. Danke!

Freundliche Grüße

R. Geiler

---

@rgeiler schrieb:

könnten Sie bitte den Link zur Liste preisgeben.

---

Diese bei GitHub? Oder diese? Sonst zum Nachlesen: 

0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter

Gegenmittel für 0-day CVE-2021-44228 in Java log4j-Bibliothek

Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen

Schutz vor schwerwiegender Log4j-Lücke - was jetzt hilft und was nicht

Ob uns Endanwender das so sehr tangiert, weiß ich nicht genau. Es liest sich eher nach einem größeren Problem bei den großen Anbietern wie facebook, Microsoft, twitter und Co. Ja, auch die lokale Hardware muss man patchen, sofern möglich aber wenn die Lücke so gut ausnutzbar wäre, wäre längst mehr passiert. Das haben die Exchange Lücken im März gezeigt, als deutlich mehr Schaden angerichtet wurde als es noch gar keine Patches von Microsoft gab. Wenn seit FR bisher noch keine Meldung über eine größere Übernahme erfolgte, finde ich das schon komisch. 

---

Als Anwender kann man da aktuell nicht viel anderes tun, als abzuwarten, beim Hersteller nachzufragen und ankommende Patches schnellstmöglich zu installieren. Die gute Nachricht ist, dass Endanwender nicht im Fokus stehen. Das Problem betrifft vorrangig die Betreiber von Diensten und IT-Infrastruktur.

---

Also abwarten. Wir haben bei DATEV nachgefragt und DATEV stellt Hotfixe / Updates bereit. 

Ebenso war der Aufschrei durch die PrintNightmare Lücke meiner Meinung nach größer als Schaden entstanden ist. Auch das Problem ist meiner Meinung nach nie wirklich zu 100% final gelöst worden. Um die Lücke ist es aber ruhig geworden. 

Keep cool 😎 und keine Panik schieben. Die nächste noch unbekannte Lücke kommt. Ganz bestimmt 😉. 

@metalposaunist 

anders als printnightmare soll die lücke bereits grossflächig ausgenutzt werden.

wenn einfache zeichenfolgen ausreichen um schadecode zu laden ohne irgendwo aus dem netz nachzuladen.. ja, dann ist das schon ein anderes kaliber als printnightmare.

---

@boomboom  schrieb:

 

wenn einfache zeichenfolgen ausreichen um schadecode zu laden ohne irgendwo aus dem netz nachzuladen.. ja, dann ist das schon ein anderes kaliber als printnightmare.

---

Die Lücke ist nicht notwendigerweise ausnutzbar:

1. ein Datevserver ist sicher nicht aus dem Internet erreichbar - bleiben Angriffe aus dem lokalen Netz

2. ein Datevserver hat nicht notwendigerweise einen aus dem Netzwerk erreichbaren Dienst laufen der irgendwelche User-Eingaben per log4j protokolliert, einzig das Ausgabesystem (und beA) scheinen log4j zu verwenden - bleiben lokale Angreifer auf dem Datev-Terminalserver

3. unter der Annahme dass keine Bestandteile des Ausgabesystems das jasper verwendet unter einem Systemdienst läuft kann ein authentifizierter Anwender des Datev-Terminalserver möglicherweise diese Lücke ausführen falls er in der Lage ist den durch log4j protokollierten Datensatz überhaupt passend zu manipulieren und kann dann was? Code im eigenen Context ausführen. Toll - das kann er meistens auch so...

auf einem Onpremise-Datev-Server sehe ich nach aktuellem Kenntnissstand die Gefahrenlage unkritisch. Daran könnte nur ändern:

jasper oder beA (oder andere Teile die log4j verwenden) laufen in einem priviligierten Kontext wie localsystem -> local priviledge escalation

oder: ein Netzwerkdienst (dann vermutlich im Bereich Datev Framework Libraries) greift auf log4j zurück -> remote code execution

aber selbst in diesem Fall wäre der Angriff sicher nur aus dem lokalen Netz ausführbar und eine ganz andere Bedrohungslage als die ganzen von dieser Lücke betroffenen Dienste auf irgendwelchen Webservern o.ä.

@ulrichwurst 

im lokalen netz ist man u.u. schnell, wenn die kaffeemaschine via app aus dem urlaub steuerbar ist.

... mal ganz naiv gefragt:

... lässt sich das betreffende Protokoll, ein spezieller Services beenden, ein gefährlicher Port schließen, vorsorglich

... und wenn ja, ist dann kein produktives Arbeiten mehr möglich oder könnte man temporär auf einzelne Möglichkeiten verzichten oder Alternativen nutzen ?

Beispiel:

wenn die Backupsoftware betroffen wäre, könnte man evtl. andere Möglichkeiten der Datensicherung nutzen etc.

... wie gesagt, naiv gefragt, aus der Sicht von 'Klein Erna' ...

Wer weiß wer weiß...

wieso bringt die Brak am Wochenende ein beA-Update für den Client heraus?

Auch der Client ist ja vom Netz nicht erreichbar.

Die Datev greift auf die selben beA-Librarys zu, stellt diese aber in einem eigenen Programmverzeichnis bereit.. warum auch immer man nicht auf den installierten Client zugreift.. 

Das ist dann wieder sicher? 

Dann sollten die Hofixes aber so schnell wie möglich installiert werden,.. wenn es doch kein Problem gibt..

Alles sehr fragwürdig in Moment.

Guten Morgen,

vielen Dank für Ihre Fragen und Beiträge!

Wir erstellen zurzeit ein zentrales Hilfe-Dokument mit Empfehlungen, was Sie tun können und sollten (und was nicht) sowie Terminen für die Hotfixes von DATEV. Wir hoffen damit, Nutzern auch über die Community hinaus Hilfestellung zum Umgang mit der Log4-J Schwachstelle zu geben.

@frankie34 

wo findet man das bea-Update?