Kritische Sicherheitslücke in Log4j – FTAPI reagiert

Aktualisiert am 22.12.2021 um 09:30

Mit dem FTAPI Release 4.13, das im Januar verfügbar sein wird, werden wir Log4j überall auf die Version 2.17 updaten.

Sobald das Release zur Verfügung steht, werden wir alle OnPremise Kunden informieren und die Download-Links zur Verfügung stellen. Alle OnDemand-Server werden wie gewohnt von uns geupdatet. Den Update-Zeitpunkt teilen wir Ihnen einige Tage vorher per E-Mail mit.

Was kann eigentlich bei der Sicherheitslücke Log4j passieren?

Wir haben dazu ein kurzes Demo-Video für Sie erstellt, in welchem unser DevOps Engineer Jonathan Dietrich die grundsätzliche Thematik der Sicherheitslücke anschaulich erklärt.

Aktualisiert am 20.12.2021 um 14:08

Nach neusten Erkenntnissen gibt es für Kunden, die bisher nur den Quickfix genutzt haben und kein Update auf Version 4.12.3 durchgeführt haben, noch theoretische Angriffsvektoren. Wir haben dies geprüft, sehen aktuell jedoch keine Gefahr für FTAPI. Auch gibt es für diese theoretischen Vektoren noch keinen Proof of Concept.

Dennoch empfehlen wir allen OnPremise Kunden, die FTAPI Version 4.12.3 einzuspielen. Das Update finden Sie hier. Falls Sie Ihren FTAPI Server letzte Woche bereits auf die Version 4.12.2 upgedatet haben, finden Sie hier die Updateanleitung, um den Server auf die Version 4.12.3 zu aktualisieren. Falls sich Ihr FTAPI Server auf einer Version vor 4.12.2 befindet, finden Sie die entsprechende Updateanleitung hier.

Alle OnDemand Server werden wir am Mittwoch, den 22.12.2021 zwischen 18:00 Uhr und 23:00 Uhr updaten. Ihr persönlicher FTAPI-Server wird im genannten Zeitraum bis zu 30 Minuten nicht erreichbar sein. Im Anschluss an das Update muss die aktuelle FTAPI Desktop App von Ihnen installiert werden.

Aktualisiert am 17.12.2021 um 09:52

Kunden haben uns darauf hingewiesen, dass der Log4j Vulnerability Scanner die Datei log4j-1.2.17.jar als mögliche Schwachstelle bei FTAPI identifiziert.

Wir haben dies eingehend überprüft und sind zu dem Schluss gekommen, dass die Datei nach unserem Kenntnisstand keine Gefahr darstellt. Diese Einschätzung teilt auch die OWASP Foundation. Eine Zusammenfassung dazu finden Sie hier.

Das Finding ist damit als False Positive Finding einzustufen. Da wir diese Datei nicht benötigen, wird Sie im nächsten Release entfernt.

Wir bedanken uns bei unseren aufmerksamen Kunden und halten Sie bei Änderungen weiterhin auf dem Laufenden.

Aktualisiert am 16.12.2021 um 10:32

Es wurde eine weitere Sicherheitslücke in der Log4j Bibliothek bekannt CVE-2021-45046 – diese erlaubt keine Remote code execution – jedoch einen Denial of Service Angriff (d.h. der Dienst ist nicht mehr erreichbar).

Diese Lücke wurde mit der Log4J Version 2.16 geschlossen. Diese haben wir in der FTAPI Version 4.12.3 eingepatched . Ein Update wird empfohlen, ist jedoch nicht dringend notwendig.

Aktualisiert am 15.12.2021 um 10:28

Um die Sicherheitslücke in der Desktop App zu schließen, wurde eine weitere Version 4.12.2 des Clients veröffentlicht. Sie ist verfügbar unter https://docs.ftapi.com/display/FAH4/FTAPI+4.12.2.

Bitte installieren Sie diese, falls die aktuell verwendete Version vor dem 14.12.2021 installiert wurde.

Aktualisiert am 14.12.2021 um 14:49

Mittlerweile wurde die Java Bibliothek Log4j vom Hersteller ein weiters Mal geupdatet. Alle Informationen zur Version 2.16.0 finden Sie hier. Da es aktuell jedoch keine weiteren Sicherheitslücken gibt, ist das Einspielen dieser Version nicht erforderlich. Sie ist derzeit lediglich als „Saftey“-Release gedacht.

Parallel dazu stellen wir die FTAPI Version 4.12.3 fertig, die wir bei Bekanntwerden einer erneuten Sicherheitslücke in der Log4j Bibliothek sofort einspielen können. Dazu besteht derzeit aber kein Handlungsbedarf.

Sollte sich dieser Stand ändern, werden wir Sie umgehend informieren und alle notwendigen Schritte einleiten. 

Bis dahin halten wir Sie weiterhin auf dem Laufenden und melden uns, sobald es Neuigkeiten gibt.

Aktualisiert am 13.12.2021 um 13:45

Derzeit nutzen Angreifer die kritische Zero-Day-Sicherheitslücke in der Java-Logging-Bibliothek Log4j aus, welche von Experten am Freitag das erste Mal entdeckt wurde. Angriffe auf Server und Online-Dienste sind dadurch weltweit möglich. Die Problematik ist, dass die Software extrem häufig zum Einsatz kommt und es technisch sehr einfach ist, die Sicherheitslücke auszunutzen. Namhafte Firmen, wie zum Beispiel Apple und Amazon, aber ebenso kleinere Unternehmen und Behörden sind damit grundsätzlich angreifbar geworden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagierte am Samstag und setzte die Warnstufe zu der Sicherheitslücke von Orange auf Rot hoch.

Konsumenten selbst können die Sicherheitslücke nicht schließen und auch nicht ermitteln wo Probleme auftreten. Da auch FTAPI diese Bibliothek verwendet, wurde sofort auf die Sicherheitslücke reagiert und bereits am Wochenende ein Security-Patch auf allen Cloud-Systemen eingespielt, um Angriffe von Cyberkriminellen und Hackern zu verhindern. Als OnDemand Kunde besteht für Sie kein weiterer Handlungsbedarf. Ihr FTAPI OnDemand-Server ist upgedatet und vollkommen sicher. 

Schutz vor Angreifern

Ohne eine derartige Lösung ist es Angreifern möglich, beliebige Schadcodes auf Systemen zu integrieren. Ebenso besteht die Gefahr, dass sie Nutzerdaten, Zugangsdaten oder auch Zahlungsdaten abgreifen, was beispielsweise Erpressungsversuche zur Folge haben kann.  Schnelles Handeln ist in diesem Fall gefragt, denn Angreifer können Daten abgreifen und erst einige Zeit später nutzen, um in Systeme einzugreifen. Hardware-Bedrohungen durch Log4j sind mittlerweile ebenfalls nachgewiesen. 

Handlungsempfehlungen für OnPremise Kunden:

Mit dem Release 4.12.2, das ab sofort allen OnPremise Kunden zur Verfügung steht, wird die Sicherheitslücke geschlossen. Daher empfehlen wir Ihnen dringend, das Update unmittelbar einzuspielen.

Sollte ein sofortiges Update nicht möglich sein, oder falls Sie weitere Fragen haben, wenden Sie sich bitte umgehend an support@ftapi.com.

Wenn Sie das Problem zeitnah mitigieren möchten (OnPremise) – nutzen Sie bitte folgende Anleitung: hier klicken. Ein Update sollte in den nächsten Wochen dennoch durchgeführt werden.

Häufige Fragen und Antworten zur Thematik

Ist FTAPI von der Log4J Sicherheitslücke betroffen? 

Ja, da FTAPI die Log4J Library verwendet.

Welche Komponenten sind von der Sicherheitslücke betroffen?

Nach aktuellem Erkenntnisstand ausschließlich der FTAPI Server und die Desktop App.

Gibt es einen Patchrelease, der die Sicherheitslücke schließt? 

Ja die Version 4.12.2. Diese kann hier (https://docs.ftapi.com/display/FAH4/FTAPI+4.12.2) heruntergeladen werden.

Gibt es eine Möglichkeit, die Sicherheitslücke ohne ein Update zu schließen?

Ja, dies ist durch eine Anpassung der Konfiguration am FTAPI Server möglich und kann beim Helpdesk (support@ftapi.com) angefragt werden. ACHTUNG: Wir empfehlen dringend, insbesondere bei älteren FTAPI Server Versionen, das Update auf die Version 4.12.2, da dadurch auch andere Sicherheitslücken geschlossen werden. Der Weg über die Konfiguration sollte nur gegangen werden, wenn ein kurzfristiges Update nicht möglich ist.

Ist das Outlook Add-In betroffen?

Das Outlook Add-In ist nicht betroffen, das bedeutet es muss dafür kein Update erfolgen.

Was gilt es bei der Desktop App zu beachten?

Die Version 4.12.2 der Desktop App steht ab sofort zur Verfügung steht, bei der die durch Log4J verursachte Sicherheitslücke geschlossen wurde.

Aufgrund der hohen Anzahl an Anfragen, kann es zu verlängerten Antwortzeiten bei nicht kritischen Support Fällen kommen.

Wir halten Sie in diesem Blogartikel auf dem Laufenden, sobald es Neuigkeiten gibt.

Download FTAPI 4.12.2

Hier erhalten Sie alle relevanten Clients passend zur FTAPI 4.12.2 zum kostenfreien Download.