"Log4J" | Swyx ist NICHT betroffen

14.12.2021 | FSGFISIDSFIT |

Kurz vor Jahresschluss versetzt eine gravierende Sicherheitslücke die IT-Welt in Alarmstimmung, denn auch sie hat das Potenzial, in den kommenden Wochen und Monaten Millionenschäden durch Cyber-Attacken auszulösen.

Die Brisanz der mittlerweile als „Log4Shell“ bezeichneten Schwachstelle ist so groß, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) sie bereits, kurz nach Bekanntwerden, mit der höchsten Warnstufe „Rot“ bewertet hat.

Gute Nachricht: Swyx-Produkte sind nicht betroffen.

In Bezug auf die o.a. Sicherheitslücke möchten wir Sie darüber informieren, dass in die Produkte Swyx und SwyxON sowie allen Add-Ons, wie z.B. Swyx Analytics oder Swyx VisualGroups, die Log4J-Bibliothek nicht genutzt wird. Die Produkte sind daher nicht von der Zero-Day-Lücke (CVE-2021-44228) betroffen.

Für Software und Hardware der folgenden Hersteller liegen uns bisher folgende Rückmeldungen vor:

ASCOM (DECT 800): nicht betroffen
AudioCodes (SwyxConnect) Mediagateways / Mediapacks: nicht betroffen
C4B: nicht betroffen -> https://www.c4b.com/de/news/log4j.php
ESTOS: nicht betroffen -> estos von kritischer Schwachstelle in log4j (CVE-2021-44228) nicht betroffen
Swyx Analytics / Aurenz: nicht betroffen -> Support für Businesspartner (aurenz.de)
Atos / Unify: Telefone nicht betroffen -> Security Advisory (unify.com)
Jabra Direct und Hardware: nicht betroffen
RTX (DECT 500): nicht betroffen
Yealink: Hardware nicht betroffen

Log4j | Wie ein digitales Notizbuch die Netzwelt in den Alarmzustand versetzt

Die Schwachstelle steckt in einer oft genutzten Bibliothek für die Java-Software. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den Servern ausführen können. Damit könnten sie zum Beispiel ihre Schadprogramme dort laufen lassen. Die Schwachstelle ist auf einige ältere Versionen der Bibliothek mit dem Namen Log4j beschränkt. Allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden.

Besonders heimtückisch: Angreifer könnten jetzt mit Hilfe der Lücke auch nur unauffällige Hintertüren für sich einbauen, warnte Trost. „Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später.“

Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten – zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge auftaucht, zum Beispiel durch eine Nachricht. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzte. Zugleich haben die Systeme großer Anbieter meist mehrschichtige Schutzmechanismen.

Quelle: Handelsblatt GmbH – Alle Rechte vorbehalten
Log4j Lücke: Wettlauf um Sicherheitslücke in Server-Software (wiwo.de)

IT-Security by Frings IT

Wir führen einen professionellen IT-Sicherheitscheck für Ihr Unternehmen durch. Wir nehmen die eingesetzte Hard- und Software genau unter die Lupe und finden heraus, ob Schwachstellen existieren. Ebenfalls prüfen wir Ihre eingesetzten Systeme auf mögliche Risiken. Handeln Sie jetzt und seien Sie richtig vorbereitet! Rufen Sie uns an +49 (2103) 58 77 -110 oder schreiben Sie uns: vertrieb@remove-this.frings-it.de

Downloads

Frings IT | Flyer | IT-Security

Frings IT | Broschüre | IT-Service-Management

Zurück