In den letzten Tagen gab es eine Reihe alarmierender Schlagzeilen über den Log4J-Shell-Exploit. Diese Schlagzeilen sorgten verständlicherweise für erhebliche Besorgnis bei Sicherheitsteams auf der ganzen Welt, einschließlich hier bei OpenVPN.
Während sich viele Unternehmen mit Fragen ihrer Kunden befassten, ging es uns nicht anders. Support-Tickets kamen von besorgten Kunden, die unsere kommerziellen Software-Sicherheitslösungen OpenVPN Cloud und Access Server verwenden.
"Wir freuen uns, bestätigen zu können, dass unsere Produkte nicht von dem Log4Shell-Exploit betroffen sind", sagt Robert Weiss, Leiter der Informationssicherheit bei OpenVPN.
OpenVPN-Produkte und -Dienste sind NICHT vom Log4Shell-Exploit betroffen.
Unsere selbst gehostete Lösung Access Server verwendet kein Java und ist daher nicht von Log4j betroffen. Benutzer benötigen keine Patches oder Updates. Gleiches gilt für unsere Cloud-basierte Lösung OpenVPN Cloud. Es sind keine Patches erforderlich, um sich mit unseren Produkten vor Log4j-Exploits zu schützen.
Die Log4j-Bibliothek ist weit verbreitet und leicht auszunutzen. “ Die Schwachstelle in Log4j zeigt, dass selbst die Durchführung täglicher Sicherheitsmaßnahmen nicht ausgereicht hätte, um Sie zu schützen. Organisationen müssen in der Lage sein, Bedrohungen und Vorfälle zu überwachen, zu erkennen und darauf zu reagieren“, erklärt Weiss.
OpenVPN Cloud-Benutzer können die Cyber Shield-Funktion verwenden, um Datenverkehr zu erkennen und zu blockieren, der versucht, die Log4j-Schwachstelle auszunutzen. Wenn die Cyber Shield-Datenverkehrsfilterung so konfiguriert ist, dass sie die Bedrohungskategorie „Schwachstellen/Exploits“ oder alle Bedrohungen mit dem Schweregrad „Kritisch“ und „Hoch“ blockiert, schützt sie den gesamten Datenverkehr, der durch OpenVPN Cloud fließt, vor der Schwachstelle Log4j (CVE-2021-44228). Hier erfahren Sie mehr über Cyber Shield und wie Sie es konfigurieren.
„Jeder erbt Risiken von den Organisationen, mit denen er zusammenarbeitet, und der Software, die er bereitstellt. Es ist eine gemeinsame Verantwortung und wir müssen das gesamte Ökosystem schützen und sichern“, sagt Weiss.
Hier ist das Neueste zum Log4Shell-Exploit:
Was ist der Log4Shell-Exploit?
Die Schwachstelle Apache Log4J2, besser bekannt als „Log4Shell“ oder „Log4j“, kann ausgenutzt werden, um die Fernsteuerung anfälliger Systeme zu übernehmen. Der Exploit erschien ursprünglich auf Websites, auf denen Minecraft-Server gehostet wurden. Laut der United States Cybersecurity and Infrastructure Security Agency (CISA) „hat die Apache Software Foundation eine Sicherheitsempfehlung veröffentlicht, um eine Schwachstelle bei der Remote-Codeausführung (CVE-2021-44228) zu beheben, die die Log4j-Versionen 2.0-beta9 bis 2.14.1 betrifft. Ein entfernter Angreifer könnte diese Schwachstelle ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen. Log4j ist ein Java-basiertes Open-Source-Protokollierungsdienstprogramm, das häufig von Unternehmensanwendungen und Cloud-Diensten verwendet wird.“
Wer ist von Log4Shell betroffen?
Wir spielen die Schwere dieser Bedrohung keineswegs herunter. Wie auf dem Security Boulevard berichtet, „... wie die meisten Twitter- und Sicherheitsexperten sagen:Diese Schwachstelle ist schlecht. Wirklich schlecht. Viele prominente Websites führen diesen Logger aus.“
Wenn Sie dies lesen, sind Sie wahrscheinlich ein OpenVPN-Kunde; wir möchten Ihnen versichern, dass unsere kommerziellen Lösungen nicht betroffen sind .