Das BSI weist auf eine kritische Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j (Log4Shell) hin. Diese führt nach Einschätzung des BSI zu einer extrem kritischen Bedrohungslage. Das BSI hat daher eine Cyber-Sicherheitswarnung der Warnstufe Rot veröffentlicht. Die Protokollierungsbibliothek dient der performanten Aggregation von Protokolldaten einer Anwendung. Die veröffentlichte Schwachstelle ermöglicht es Angreifenden ab den Versionen 2.10 auf dem Zielsystem eigenen Programmcode auszuführen, was zur Kompromittierung des Zielsystems führen kann.
log4j keine Bedrohung für Wice CRM
Für Wice CRM können wir aber Entwarnung geben: Wice CRM nutzt kein Log4j. Auch für Inhouse-Kunden bedeutet dies, dass Log4j nicht vom Wice-Installer verlangt oder gar installiert wird. Log4j ist komplett unabhängig von Wice. Wir haben auch in keiner unserer Installationen Log4j. Wice CRM hat seine eigene Apache-Konfiguration und seinen eigenen Apache-Dienst, in dem Log4j nicht vorhanden ist. Wir können daher garantieren, dass wir nicht von der Log4j-Sicherheitslücke betroffen sind.
Die Bedrohungslage ist rund um log4j sehr ernst. Öffentliche Quellen weisen darauf hin, dass seit Bekanntwerden der Schwachstelle breitflächige Scans nach verwundbaren Systemen durchgeführt werden. Cyberkriminelle machen umfassend verwundbare Systeme ausfindig und greifen sie an. Das github-Repository der CISA mit der Liste verwundbarer Systeme und Anwendungen ist inzwischen Prall gefüllt. Unzählige Anwendungen sind dort mit Status verwundbar, nicht betroffen oder etwa in Untersuchung versammelt.
Sollen Sie weitere Fragen zum Betrieb und der Datensicherheit von Wice CRM haben, dann wenden Sie sich gerne an uns.