ZeroDay Exploit für Java Logging-Tool Log4j

Liebe Partner und Kunden,

Wie Sie wissen wurde ein ZeroDay Exploit für ein Java Logging-Werkzeug namens Log4j entdeckt, und vom BSI als kritisch klassifiziert.
EFSTA verwendet dieses Werkzeug nicht, und ist daher nicht betroffen.
Ebenfalls nicht betroffen sind die Cloudsysteme aller TSE Anbieter, sowie physische TSEs in allen Bauweisen.

Das Werkzeug wird nach unserem derzeitigen Informationsstand von den Cloud-Konnektoren von zwei CloudTSE Herstellern in Deutschland, nämlich Deutsche Fiskal und Swissbit CloudTSE verwendet.

Die Anbieter schlagen eine Änderung einer Umgebungsvaribale (siehe unten) vor. Dazu werden wir noch heute eine Hotfix Version, EFR 2.2.0.2, zur Verfügung stellen. Bei einem Update auf diese Version wird die Umgebungsvariable automatisch gesetzt, sowohl auf Windows, als auch auf Linux Systemen. Es handelt sich bei diesem Update um einen Hotfix, eine funktionale Prüfung wird empfohlen.

Wenn Sie eine dieser CloudTSEs einsetzen, empfehlen wir davon unabhängig:

Bitte stellen Sie grundsätzlich sicher, dass die http/https Ports auf den betroffenen Kassen bzw. Maschinen vor externem Zugriff geschützt sind, und auf die notwendige Kommunikation zwischen EFR (efsta Middleware) und FCC, bzw. FCC - CloudTSE Backend beschränkt.

Dazu empfehlen die Hersteller (gilt nach unserem Kenntnisstand für Deutsche Fiskal und Swissbit):

 


"Zur umgehenden Behebung der Sicherheitslücke empfehlen wir dringend allen Kunden, die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS=true auf dem Konto zu setzen, welches die FCC Applikation ausführt. Anschließend ist der FCC Dienst neu zu starten.
Allen Kunden, die dieses Vorgehen nicht ausführen können, stellen wir schnellstmöglich ein Update des FCC als Version 3.2.4 bereit, welches die Anpassung der Umgebungsvariablen im Zuge des Updatevorgangs ausführt."

 


Dieses Update werden wir so bald als möglich bzw. verfügbar über das EFSTA Portal zur Verfügung stellen. Aus unserer Sicht ist eine Deaktivierung des FCC damit voraussichtlich nicht notwendig.

Sollten Sie eine Deaktivierung trotzdem für notwendig erachten, beachten Sie bitte, dass eine solche Deaktivierung die automatische Installationsroutine des EFR auslöst. Um diese zu unterdrücken setzen Sie bitte das Attribut "tse_install=no" im Profil der EFR Kassenmandanten, die betroffen sind.

Das EFR selbst, und die damit verbundene Archivierung, ebenso wie die Erzeugung des DSFinV-K sind davon nicht beeinträchtigt.

Wir sind mit den Herstellern der betroffenen Systeme in Kontakt, an Lösungen wird intensiv gearbeitet, und bei Vorliegen werden diese über das efsta Portal wie gewohnt veröffentlicht. Bitte verständigen Sie von sich aus alle nachgelagerten Unternehmen, um allen Informationspflichten entsprechend nachzukommen.

 

Zur Warnung des BSI:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3

 

Zur Stellungnahme der Deutschen Fiskal:


"Sehr geehrte Nutzer der Fiskal Cloud,

seitens DF Deutsche Fiskal GmbH möchten wir Ihnen ein Update zur aktuellen Sicherheitslage im Bezug auf den vom BSI am 11.12.2021 veröffentlichen Sicherheitshinweis (BSI: CVE-2021-44228) geben.
Auch DF Deutsche Fiskal GmbH nutzt JAVA basierte Dienste und kann daher nicht ausschließen, dass die Systeme betroffen sein könnten.
Im Rahmen einer gebildeten Taskforce wurden nachfolgende Maßnahmen definiert und auch teilweise bereits umgesetzt. Details hierzu mit dem Stand 13.12.2021 nachfolgend:

Prüfung der externen JAVA basierten Dienste/Tools:
Nach aktuellem Wissensstand wurden für die externen Tools in der AZURE Umgebung die vom BSI und den Herstellern empfohlenen Sicherheitsmaßnahmen umgesetzt.
(STAND 13.12.21: Erledigt)

Prüfung des zentralen TSE-Webservices der Bundesdruckerei:
Die D-Trust GmbH als Tochtergesellschaft der Bundesdruckerei und Betreiber des TSE-Webservices hat in einer Vorabinformation bestätigt, dass in der zentralen TSE-Web Service Umgebung der genannte „log4j-Logger“ nicht eingesetzt wird.
(STAND 13.12.21: Erledigt)

Prüfung der internen zentralen Fiskal Cloud Applikationen:
Voraussetzung für die Ausnutzung der Sicherheitslücke ist ersten Erkenntnissen nach, dass der Log4j 2 Parameter "formatMsgNoLookups" als Wert "false" gesetzt sein muss und eine Java Runtime 8 Update 191 bzw. 11.0.1 oder älter im Einsatz ist, damit der Exploit funktioniert. Bei neueren Versionen ist die ausgenutzte Funktionalität standardmäßig durch die Java Runtime deaktiviert.
Da es jedoch Möglichkeiten gibt, den JDK Schutz zu umgehen, wurden zur Erhöhung der Sicherheit alle Services der Fiskal Cloud zusätzlich dahingehend umkonfiguriert, dass der Exploit nicht mehr möglich ist. Des Weiteren wird in der FCC Version 4.0.0. die neue Bibliothek (ab Version 2.15) genutzt werden, um den Schutz nochmals zu erhöhen.
(STAND 13.12.21: Erledigt)

Prüfung des Fiskal Cloud Connectors (FCC)
Zur umgehenden Behebung der Sicherheitslücke empfehlen wir dringend allen Kunden, die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS=true auf dem Konto zu setzen, welches die FCC Applikation ausführt. Anschließend ist der FCC Dienst neu zu starten.
Allen Kunden, die dieses Vorgehen nicht ausführen können, stellen wir schnellstmöglich ein Update des FCC als Version 3.2.4 bereit, welches die Anpassung der Umgebungsvariablen im Zuge des Updatevorgangs ausführt.

Wir setzen die Analysen fort und sobald neue Erkenntnisse vorliegen, werden wir Sie umgehend informieren.

Mit freundlichen Grüßen
Ihr DF Support Team"

 


Wir hoffen Ihnen mit diesen Informationen geholfen zu haben,

Ihr efsta Team