Das wird sehr oft nicht kommuniziert. Ich kenne alleine 8 Fälle kompromitierter Exchangeserver im eigenen Umfeld. Keiner davon war in den Medien. Alles mittelgroße Mittelständische Unternehmen. Bei drei davon auch Ransomware. Ich könnte ihnen jetzt einen großen Maschinenbauer nennen, bei dem die Maschinen von mehr als 100 Kunden verschlüsselt wurden. Davon war auch nichts in den Medien. Kommt i.d.R. nur an die Öffentlichkeit, wenn es sich nicht vermeiden läßt. ... Mehr anzeigen

Bei uns hat ein - geschulter - Mitarbeiter in der Eile einen Link von Hand in den Browser eingefügt (weil er sich nicht anklicken lies). --> Immer auch das scheinbar unmögliche einplanen. ... Mehr anzeigen

Es reicht bei "Log42" ein Klick auf einen Link in einer E-Mail. Oder der Aufruf einer infizierten Internetseite. Was passiert? 1. Log4Shell wird genutzt um ein winziges Programm zu installieren, was später unbemerkt code nachlädt. 2. Die Schadsoftware katalogisiert ihr Netzerk und sucht nach weiteren Lücken 3. Je nachdem was sich lohnt 3.1 Ihre Daten werden langsam, unbemerkt nach außen gesendet 3.2 Install Kryptominer 3.3 Sie versenden Spam 3.4 Ihr System wird verschlüsselt - im schlechtesten Fall inkl. Backupsystem (siehe Punkt 2) 4. Sie werden erpresst 4.1 Entschlüsseln der verschlüsselten Daten 4.2 Schutz vor Preisgabe ihrer in 3.1 entwendeten Daten 5. Je nachdem wie tief in ihr System eingedrungen wurde muß ihr System ggf. neu aufgesetzt werden. Es reicht ggf. nicht die Datensicherungen der letzten Woche einzuspielen. Je nachdem, wie sie aufgestellt sind. Ich rede hier von einem Vorfall in 1-2 Monaten. Von einem ersten Eindringen am 11.12. Die Warnstufe ROT des BSI ist berechtigt und sollte nicht mit "bei Printnightmare ist auch nicht viel passiert" auf die leichte Schulter genommen werden. ... Mehr anzeigen

Weil Sie schreiben Veeam sei betroffen: Quelle: https://www.veeam.com/kb4254 Impact on Veeam Software Veeam products are not affected by this vulnerability. Apache Logs4j is not in use by any Veeam products. ... Mehr anzeigen

Die bösen Jungs setzen den Fuß in die Tür, scannen die Umgebung, finden die Lücke, nutzen sie. Es ist längst bekannt wie man die Lücke nutzen kann - und wie einfach das ist. Deshalb macht es auch keinen Sinn da etwas seitens Datev zu verheimlichen. Ganz im Gegenteil. Andere Hersteller wie VMWare, Cisco etc. haben von Anfang an veröffentlicht was Sache ist. Betroffene und nicht betroffene Produkte aufgelistet. Um die Kunden zu schützen, ihnen die Möglichkeit zu geben zu handeln. ... Mehr anzeigen

Ein Nutzer hier schreibt, dass zwei Dateien bei ihm gefunden wurden: <<c:\Program Files (x86)\DATEV\PROGRAMM\B0001429\JasperCore\jasper-spring-5.1.4.jar (?) c:\Program Files (x86)\DATEV\PROGRAMM\K0005078\bea_client_security\bea-client-security_lib\log4j-core-2.13.3.jar>> Letzteres scheint mir gar nicht gut. Kenne mich aber zu wenig aus. Sie schreiben: "Generell" kein "erhöhtes Risiko" umd dann nachzuschieben: "Dennoch stellen wir morgen und übermorgen Hotfixes zur Verfügung, die umgehend nach Veröffentlichung installiert werden sollten." Hotfixes ... *umgehend*. Wo doch "generell" gar nichts ist. Ist mir zu schwammig. Mein Datev-Server ist jetzt erstmal im Lockdown. Hoffentlich nicht zu spät.     ... Mehr anzeigen

Und da steht: "!!! i cannot say yet if logpresso is a trusted source !!!" Viel Spaß. Eine nicht ausreichend geprüfte Log4J-Lücke mit einem nicht ausreichend geprüften Scanner prüfen... CVE-2021-44228 <- Auf das Google auf diese Seite verlinkt. Denn von Datev gibt es ja nichts offizielles! P.S.: BSI: Da eine Ausnutzung nicht zwingend ein Nachladen von Schadcode aus dem Internet benötigt, sondern bereits mit einer einzigen Anfrage möglich ist, muss für alle verwundbaren Systeme die Angriffsfläche reduziert werden. Konkrete Schritte hierzu sind: • Nicht zwingend benötigte Systeme abschalten. <-- BSI Update 4: << Zusätzlich zu der Installation von Kryptominern und der Ausnutzung durch Botnetze gibt es auch öffentliche Berichte, die auf das Nachladen von Cobalt Strike-Beacons hinweisen. Cobalt Strike ist eine Pen-Testing-Software, die auch von Angreifern genutzt wird, um Angriffe auf IT-Netzwerke durchzuführen. Die Schwachstelle kann nicht nur zum Nachladen von weiterer Schadsoftware genutzt werden, sondern auch für die Offenlegung von vertraulichen Daten (z. B. API-Keys). Hierfür ist kein Nachladen von externer Schadsoftware notwendig, sodass diese Ausnutzung mit einer Anfrage durchgeführt werden kann. >> Quelle: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3 WENN Datev eine Schwachstelle hat, dann läßt uns DATEV hier seit Tagen im Dunklen und bastelt an einem Patch - während das oben vom BSI genannte passiert! Ich hoffe es ist nicht so! ... Mehr anzeigen

Was "einige Komponenten"? Datev On Premises betroffen [ ] ja [ ] nein [ ] vielleicht Und was ist mit den Arbeitsstationen? Arbeitsstationen betroffen [  ] Ja [  ] nein  [  ] vielleicht Und was sind die "üblichen wege"? Dass Datev betroffen ist, habe ich erst durch zielgerichtetes Nachfragen beim Support erfahren. Weil ich das hier gefunden habe: https://www.datev.de/zrrgup/license/show.do. Da steht, dass Datev log4j-api-2.14.1.jar nutzt. Nur eben nicht wo genau! Der Supportmitarbeiter wollte gar nichts dazu sagen, weil "weil keine offiziellen Infos von Datev" und hat dann auf diese "Datev-Community" verwiesen! BSI sagt Server mit Sicherheitslücke patchen oder abschalten. Systeme mit Lücke sind angreifbar. Das müsst ihr kommunizieren - auch wenn noch kein Patch fertig ist. ... Mehr anzeigen