Sicherheitslücke „Log4Shell“

Derzeit wird eine kritische Sicherheitslücke in der Protokollierungsbibliothek für JAVA-Anwendungen log4j verstärkt für Cyberangriffe genutzt. Durch das Protokollieren einer bestimmten Zeichenfolge wird eine Remote Code Execution ermöglicht. Die Sicherheitslücke wird unter dem Begriff „Log4Shell“ geführt. Sämtliche Systeme von RetailForce (RetailForce Cloud, Fiskal Client,…) sind frei von dieser Sicherheitslücke, da keine JAVA basierte Dienste eingesetzt werden.

Unseren Informationen nach sind die Fiskal Cloud Connectors (FCC) von Cloud TSEs der Anbieter swissbit und Deutsche Fiskal von „Log4Shell“ betroffen. Laut swissbit / Deutsche Fiskal wurden externe Tools der AZURE Umgebung der TSE-Webservices sowie die zentralen Cloud Applikationen nach dem derzeitigen Stand der Technik begutachtet und als unkritisch eingestuft. Ebenfalls nicht von der Sicherheitslücke betroffen sind physische TSEs („Hardware TSE“).

Empfehlung seitens der Cloud TSE Anbieter:

Prüfung des Fiskal Cloud Connectors (FCC)
Zur umgehenden Behebung der Sicherheitslücke empfehlen wir dringend  allen Kunden, die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS=true auf  dem Konto zu setzen, welches die FCC Applikation ausführt. Anschließend  ist der FCC Dienst neu zu starten.
Allen Kunden, die dieses Vorgehen nicht ausführen können, stellen wir  schnellstmöglich ein Update des FCC als Version 3.2.4 bereit, welches  die Anpassung der Umgebungsvariablen im Zuge des Updatevorgangs  ausführt.

Stellungnahme DF zu BSI CVE-2021-44228

Weiteren Informationen finden Sie in der Veröffentlichung des BSI („Kritische Schwachstelle in log4j veröffentlicht“): https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3

Vollständige Stellungnahme / Kundeninformation der Deutschen Fiskal (DF):

Sehr geehrte Nutzer der Fiskal Cloud,
seitens DF Deutsche Fiskal GmbH möchten wir Ihnen ein Update zur aktuellen Sicherheitslage im Bezug auf den vom BSI am 11.12.2021 veröffentlichen Sicherheitshinweis (BSI: CVE-2021-44228) geben.
Auch DF Deutsche Fiskal GmbH nutzt JAVA basierte Dienste und kann daher nicht ausschließen, dass die Systeme betroffen sein könnten.
Im Rahmen einer gebildeten Taskforce wurden nachfolgende Maßnahmen definiert und auch teilweise bereits umgesetzt. Details hierzu mit dem Stand 13.12.2021 nachfolgend:

Prüfung der externen JAVA basierten Dienste/Tools:
Nach aktuellem Wissensstand wurden für die externen Tools in der AZURE Umgebung die vom BSI und den Herstellern empfohlenen Sicherheitsmaßnahmen umgesetzt.
(STAND 13.12.21: Erledigt)

Prüfung des zentralen TSE-Webservices der Bundesdruckerei:
Die D-Trust GmbH als Tochtergesellschaft der Bundesdruckerei und Betreiber des TSE-Webservices hat in einer Vorabinformation bestätigt, dass in der zentralen TSE-Web Service Umgebung der genannte „log4j-Logger“ nicht eingesetzt wird.
(STAND 13.12.21: Erledigt)

Prüfung der internen zentralen Fiskal Cloud Applikationen:
Voraussetzung für die Ausnutzung der Sicherheitslücke ist ersten Erkenntnissen nach, dass der Log4j 2 Parameter „formatMsgNoLookups“ als Wert „false“ gesetzt sein muss und eine Java Runtime 8 Update 191 bzw. 11.0.1 oder älter im Einsatz ist, damit der Exploit funktioniert. Bei neueren Versionen ist die ausgenutzte Funktionalität standardmäßig durch die Java Runtime deaktiviert.
Da es jedoch Möglichkeiten gibt, den JDK Schutz zu umgehen, wurden zur Erhöhung der Sicherheit alle Services der Fiskal Cloud zusätzlich dahingehend umkonfiguriert, dass der Exploit nicht mehr möglich ist. Des Weiteren wird in der FCC Version 4.0.0. die neue Bibliothek (ab Version 2.15) genutzt werden, um den Schutz nochmals zu erhöhen.
(STAND 13.12.21: Erledigt)

Prüfung des Fiskal Cloud Connectors (FCC)
Zur umgehenden Behebung der Sicherheitslücke empfehlen wir dringend allen Kunden, die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS=true auf dem Konto zu setzen, welches die FCC Applikation ausführt. Anschließend ist der FCC Dienst neu zu starten.
Allen Kunden, die dieses Vorgehen nicht ausführen können, stellen wir schnellstmöglich ein Update des FCC als Version 3.2.4 bereit, welches die Anpassung der Umgebungsvariablen im Zuge des Updatevorgangs ausführt.

Wir setzen die Analysen fort und sobald neue Erkenntnisse vorliegen, werden wir Sie umgehend informieren.

Mit freundlichen Grüßen
Ihr DF Support Team

Wichtige Fiskal Cloud Kundeninformation / Stellungnahme DF zu BSI CVE-2021-44228

Wir empfehlen allen Nutzern des Fiskal Cloud Connectors die von DF empfohlenen Schritte durchzuführen, um die Sicherheitslücke zu schließen.