Sicherheitslücke „Log4Shell“

Derzeit wird eine kritische Sicherheitslücke in der Protokollierungsbibliothek für JAVA-Anwendungen log4j verstärkt für Cyberangriffe genutzt. Durch das Protokollieren einer bestimmten Zeichenfolge wird eine Remote Code Execution ermöglicht. Die Sicherheitslücke wird unter dem Begriff „Log4Shell“ geführt. Sämtliche Systeme von RetailForce (RetailForce Cloud, Fiskal Client,…) sind frei von dieser Sicherheitslücke, da keine JAVA basierte Dienste eingesetzt werden.

Unseren Informationen nach sind die Fiskal Cloud Connectors (FCC) von Cloud TSEs der Anbieter swissbit und Deutsche Fiskal von „Log4Shell“ betroffen. Laut swissbit / Deutsche Fiskal wurden externe Tools der AZURE Umgebung der TSE-Webservices sowie die zentralen Cloud Applikationen nach dem derzeitigen Stand der Technik begutachtet und als unkritisch eingestuft. Ebenfalls nicht von der Sicherheitslücke betroffen sind physische TSEs („Hardware TSE“).

Empfehlung seitens der Cloud TSE Anbieter:

Prüfung des Fiskal Cloud Connectors (FCC)
Zur umgehenden Behebung der Sicherheitslücke empfehlen wir dringend  allen Kunden, die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS=true auf  dem Konto zu setzen, welches die FCC Applikation ausführt. Anschließend  ist der FCC Dienst neu zu starten.
Allen Kunden, die dieses Vorgehen nicht ausführen können, stellen wir  schnellstmöglich ein Update des FCC als Version 3.2.4 bereit, welches  die Anpassung der Umgebungsvariablen im Zuge des Updatevorgangs  ausführt.

Stellungnahme DF zu BSI CVE-2021-44228

Weiteren Informationen finden Sie in der Veröffentlichung des BSI („Kritische Schwachstelle in log4j veröffentlicht“): https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3

Vollständige Stellungnahme / Kundeninformation der Deutschen Fiskal (DF):

Sehr geehrte Nutzer der Fiskal Cloud,
seitens DF Deutsche Fiskal GmbH möchten wir Ihnen ein Update zur aktuellen Sicherheitslage im Bezug auf den vom BSI am 11.12.2021 veröffentlichen Sicherheitshinweis (BSI: CVE-2021-44228) geben.
Auch DF Deutsche Fiskal GmbH nutzt JAVA basierte Dienste und kann daher nicht ausschließen, dass die Systeme betroffen sein könnten.
Im Rahmen einer gebildeten Taskforce wurden nachfolgende Maßnahmen definiert und auch teilweise bereits umgesetzt. Details hierzu mit dem Stand 13.12.2021 nachfolgend:

Prüfung der externen JAVA basierten Dienste/Tools:
Nach aktuellem Wissensstand wurden für die externen Tools in der AZURE Umgebung die vom BSI und den Herstellern empfohlenen Sicherheitsmaßnahmen umgesetzt.
(STAND 13.12.21: Erledigt)

Prüfung des zentralen TSE-Webservices der Bundesdruckerei:
Die D-Trust GmbH als Tochtergesellschaft der Bundesdruckerei und Betreiber des TSE-Webservices hat in einer Vorabinformation bestätigt, dass in der zentralen TSE-Web Service Umgebung der genannte „log4j-Logger“ nicht eingesetzt wird.
(STAND 13.12.21: Erledigt)

Prüfung der internen zentralen Fiskal Cloud Applikationen:
Voraussetzung für die Ausnutzung der Sicherheitslücke ist ersten Erkenntnissen nach, dass der Log4j 2 Parameter „formatMsgNoLookups“ als Wert „false“ gesetzt sein muss und eine Java Runtime 8 Update 191 bzw. 11.0.1 oder älter im Einsatz ist, damit der Exploit funktioniert. Bei neueren Versionen ist die ausgenutzte Funktionalität standardmäßig durch die Java Runtime deaktiviert.
Da es jedoch Möglichkeiten gibt, den JDK Schutz zu umgehen, wurden zur Erhöhung der Sicherheit alle Services der Fiskal Cloud zusätzlich dahingehend umkonfiguriert, dass der Exploit nicht mehr möglich ist. Des Weiteren wird in der FCC Version 4.0.0. die neue Bibliothek (ab Version 2.15) genutzt werden, um den Schutz nochmals zu erhöhen.
(STAND 13.12.21: Erledigt)

Prüfung des Fiskal Cloud Connectors (FCC)
Zur umgehenden Behebung der Sicherheitslücke empfehlen wir dringend allen Kunden, die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS=true auf dem Konto zu setzen, welches die FCC Applikation ausführt. Anschließend ist der FCC Dienst neu zu starten.
Allen Kunden, die dieses Vorgehen nicht ausführen können, stellen wir schnellstmöglich ein Update des FCC als Version 3.2.4 bereit, welches die Anpassung der Umgebungsvariablen im Zuge des Updatevorgangs ausführt.

Wir setzen die Analysen fort und sobald neue Erkenntnisse vorliegen, werden wir Sie umgehend informieren.

Mit freundlichen Grüßen
Ihr DF Support Team

Wichtige Fiskal Cloud Kundeninformation / Stellungnahme DF zu BSI CVE-2021-44228

Wir empfehlen allen Nutzern des Fiskal Cloud Connectors die von DF empfohlenen Schritte durchzuführen, um die Sicherheitslücke zu schließen.

Firmware Update Swissbit Hardware TSE

Für die Swissbit Hardware TSE ist ein Firmware Upgrade verfügbar. Wir empfehlen allen Kunden, welche in Deutschland zur Erfüllung der KassenSichV eine Swissbit Hardware TSE einsetzen und diese vor dem 01. Juli 2021 erhalten haben, auf die aktuelle Firmware upzugraden. Laut swissbit erhöht die neue Firmware (Version 1.1.0.) die Produkt-Zuverlässigkeit und sollte installiert werden um in seltenen Fällen auftretenden Hardwaredefekten vorzubeugen.

Die Funktionalität der TSE wird durch das Firmware Update nicht beeinflusst, Abwärtskompatibilität wird durch swissbit bestätigt. Die Prüfung der neuen Software Version durch das BSI, wurde bereits erfolgreich abgeschlossen.

Austausch von TSE, im Falle von Hardware-Defekten wird nur durchgeführt, wenn diese bereits die neue Firmware enthalten. Grundsätzlich hat Swissbit nach dem 01. Juli 2021 nur mehr TSEs mit dem neuen Firmware-Stand ausgeliefert. Aufgrund von terminlicher Überschneidungen beim Hardware-Versand, kann nicht ausgeschlossen werden, dass auch kurz nach dem 01. Juli noch TSEs mit einer älteren Firmware bei Kunden eingetroffen sind.

Wir empfehlen daher den Firmwarestand von eingesetzten swissbit Hardware TSEs zu prüfen.

Wir haben für Sie einen Lösungs-Artikel im RetailForce Support-Portal erstellt, welcher beschreibt, wie Sie die Firmware Version der TSE überprüfen und das Firmware Update durchführen können. Den Artikel finden Sie unter: https://support.retailforce.cloud/hc/de/articles/4411327044497-Firmware-Update-swissbit-Hardware-TSE-1-1-0-

Die neue Firmware-Version finden Sie im Download-Bereich der RetailForce Website unter: https://www.retailforce.cloud/downloads/Swissbit/TseFirmwareUpdate/