Weil Sie schreiben Veeam sei betroffen:

Quelle: https://www.veeam.com/kb4254

Es reicht bei "Log42" ein Klick auf einen Link in einer E-Mail. Oder der Aufruf einer infizierten Internetseite.

Was passiert?

1. Log4Shell wird genutzt um ein winziges Programm zu installieren, was später unbemerkt code nachlädt.

2. Die Schadsoftware katalogisiert ihr Netzerk und sucht nach weiteren Lücken

3. Je nachdem was sich lohnt
3.1 Ihre Daten werden langsam, unbemerkt nach außen gesendet
3.2 Install Kryptominer
3.3 Sie versenden Spam
3.4 Ihr System wird verschlüsselt - im schlechtesten Fall inkl. Backupsystem (siehe Punkt 2)

4. Sie werden erpresst
4.1 Entschlüsseln der verschlüsselten Daten
4.2 Schutz vor Preisgabe ihrer in 3.1 entwendeten Daten

5. Je nachdem wie tief in ihr System eingedrungen wurde muß ihr System ggf. neu aufgesetzt werden. Es reicht ggf. nicht die Datensicherungen der letzten Woche einzuspielen. Je nachdem, wie sie aufgestellt sind. Ich rede hier von einem Vorfall in 1-2 Monaten. Von einem ersten Eindringen am 11.12.

Die Warnstufe ROT des BSI ist berechtigt und sollte nicht mit "bei Printnightmare ist auch nicht viel passiert" auf die leichte Schulter genommen werden.

... evtl. lässt sich ein Registry-Eintrag setzen oder ähnliche Schutzmaßnahmen, die den Klick auf Links oder das Öffnen von MS-Office-Dateien oder div. anderer E-Mail-Anlagen verhindert

(... habe bei mir schon vor einiger Zeit das Anklicken von Links in E-Mails blockiert ...)

... quasi eine mehrtägige Kanzlei-Quarantäne, bis sich der Nebel des Grauens lichtet

---

@Bazinga schrieb:

Es reicht bei "Log42" ein Klick auf einen Link in einer E-Mail. Oder der Aufruf einer infizierten Internetseite.

---

Und warum ist dann bis jetzt so wenig passiert? Liest sich ja noch einfacher als die Exchange Lücke. Da ist irgendwas faul. Da würde ich erwarten, dass viel mehr Schaden schon jetzt im Internet kursiert. Oder halten sich alle Betroffenen zusammen gemeinsam zurück und sind alle sprachlos?! 

Bei uns hat ein - geschulter - Mitarbeiter in der Eile einen Link von Hand in den Browser eingefügt (weil er sich nicht anklicken lies).

--> Immer auch das scheinbar unmögliche einplanen.

Das wird sehr oft nicht kommuniziert.

Ich kenne alleine 8 Fälle kompromitierter Exchangeserver im eigenen Umfeld. Keiner davon war in den Medien. Alles mittelgroße Mittelständische Unternehmen. Bei drei davon auch Ransomware.

Ich könnte ihnen jetzt einen großen Maschinenbauer nennen, bei dem die Maschinen von mehr als 100 Kunden verschlüsselt wurden. Davon war auch nichts in den Medien.

Kommt i.d.R. nur an die Öffentlichkeit, wenn es sich nicht vermeiden läßt.

Hallo zusammen,

das zentrale Dokument von DATEV zum Thema Log4j Schwachstelle finden Sie nun hier im Hilfe-Center .

Die Seite wird regelmäßig aktualisiert.

PS: Wir haben diese Info auch am Anfang des Threads hinterlegt, damit User, die neu hierher finden, nicht erst den ganzen Thread lesen müssen.

Hotfixe lassen sich während der Arbeitszeit installieren und brauchen keinen Neustart. Das war mal eine Prüfungsfrage zum DATEV Techniker und der zentrale Unterschied zu Service Releasen. 

Wie verhält es sich heute Abend ab 18:15: Neustart notwendig? Datenanpassung? Da fehlt die Information von DATEV. 

Wird sich heute Abend rausstellen, nachdem es auch Hotfixes für den SQL-Server gibt....

Hotfix: B0000454-06210

Mit STRG+SHIFT+V fügt man nur den reinen Text ein; ohne Formatierung 😊. Zumindest unter Windows. Unter macOS kann man sich dazu einen Shortcut bauen 😇. 

Also mal einen Neustart einplanen. Danke!

Interessant, das verlinkte Dokument im DHC wurde am 15.12. zuletzt aktualisiert - hat hier Log4j schon zugeschlagen😉?!

Da kann man ja gestern nochmal draufschauen

---

@Nutzer_8888  schrieb:

Interessant, das verlinkte Dokument im DHC wurde am 15.12. zuletzt aktualisiert - hat hier Log4j schon zugeschlagen😉?!

 

Da kann man ja gestern nochmal draufschauen

---

Ist gegen 17:30 Uhr korrigiert und zusätzlich um allgemeine Handlungsempfehlungen ergänzt 👍

Viele Grüße

Hallo Daniel,

nur dieses Thema: Hotfix, kein Neustart, keine Datenanpassung. Aber ja, es kommt ja noch mehr, wie hier schon geschrieben wurde ...

Hallo Community,

ich versuche etwas Licht in die beA-Fragestellungen zu bringen.

DATEV:

Bei mir auf dem PC wurden nach einem Test 2 DATEV-Einträge angezeigt.

c:\Program Files (x86)\DATEV\PROGRAMM\B0001429\JasperCore\jasper-spring-5.1.4.jar (?)
c:\Program Files (x86)\DATEV\PROGRAMM\K0005078\bea_client_security\bea-client-security_lib\log4j-core-2.13.3.jar

 

beA;

Verwendet in der neuen Version noch die Version log4j-core-2.14.1.jar (anfällig). Gibt aber ein Workaround, vielleicht haben sie diesen angewendet. 

Die log4j-Datei in dem Unterverzeichnis der K0005078 gehört zu der Schnittstelle, die die BRAK uns  Softwareherstellern zur beA-Anbindung bereitgestellt hat.

Hier werden wir mit dem Hotfix von heute nur die JVM mit dem zusätzlichen Argument –Dlog4j2.formatMsgNoLookups=True starten; inhaltlich aber nichts an der Schnittstelle ändern. Hier warten wir auf Aktualisierung durch die BRAK.

Die zweite log4j-Datei gehört zur beA-Client Security, die Sie für eine Anschaltung an die Webseite benötigen. Hier die BRAK bereits am Sonntag eine aktualisierte Version bereitgestellt. Der Fix beschränkt sich meines Wissens aber auch dort zunächst auf das zusätzliche Argument beim Javastart.

Freundliche Grüße

Carsten Groß
Entwicklung DATEV Anwalt

Guten Abend Herr Buggisch,

hat die Bereitstellung der Hotfixes heute Abend 18.15 Uhr geklappt?

Noch sind keine aktuellen Infos ersichtlich.

Danke!

R.Geiler

Hallo Herr Buggisch,

zunächst einmal ein Lob, die Hotfixes stehen wie angekündigt bereit;👍

aber: und jetzt kommt der Wehrmutstropfe👎n, der meinen Blutdruck steigen lässt:

Es  wird auch ein 1 GB großes SR für Rechnungswesen, 71 MB Telemodul, 13 MB Zahlungsverkehr und 6 MB Benutzer- und Rechteverwaltung übertragen!!  Ich gehe fast davon aus, dass hier der Datentrafo wieder Arbeit bekommt und die Regel: Hotfix = kein Neustart und keine Datenanpassung nicht gilt. 

Oder wollen Sie mir ernsthaft erklären wollen, dass von Samstag Nacht bis heute Vormittag ein Entwicklung von Rechnungswesen Hotfix in dieser Datengröße geschrieben, getestet, geprüft und für die Auslieferung bereitgestellt wurde?

Nachdem die Installationsroutine ein nicht mehr kalkulierbares Risiko darstellt, bleibt mir und vielen anderen Anwendern also nur die Möglichkeit die Hotfixes manuell an jedem Rechner einzuspielen.

Nachtrag:  Natürlich muss der Datentrafo angestoßen werden - natürlich finden sich auch dort noch immer Fehler. ich könnte k....  

@Gelöschter Nutzer 

Hallo!

Besten Dank für die Information.

Noch eine TelCo und dann werde ich dann auch mal loslegen.

Grüße!

R.Geiler

---

@agmü  schrieb:

Es  wird auch ein 1 GB großes SR für Rechnungswesen, 71 MB Telemodul, 13 MB Zahlungsverkehr und 6 MB Benutzer- und Rechteverwaltung übertragen!!  Ich gehe fast davon aus, dass hier der Datentrafo wieder Arbeit bekommt und die Regel: Hotfix = kein Neustart und keine Datenanpassung nicht gilt. 

 

Das Service-Release für Rechnungswesen enthält die Standarddaten für 2022 und war ebenfalls für heute angekündigt.

Wenn Sie wirklich nur die sicherheitsrelevanten Hotfixes installieren möchten, geht das über eine benutzerdefinierte Installation:  Dokument 1071255

@agmü: Jupp, heute kommen standardmäßig sowieso DATEV Service Release, damit man das WJ 2022 anlegen und eine Übernahme machen kann. Das hatte mit Log4j nichts zu tun. Von daher, danke 👍 DATEV , dass das zeitgleich passiert und wir nicht 2x ran müssen. Heute einmal alles installieren und man ist safe und aktuell zu gleich. 

Sorry, das reguläre SR hatte ich nicht auf dem Schirm.

Daher: MEA CULPA, MEA MAXIMA CULPA.

Ein kurzer Hinweis im Hilfe-Dokument oder der Community hätte die Überraschung in Grenzen gehalten.

@Stefanie_Herold :  nichts für ungut:  nach fast 20 Jahren DATEV-Software weis ich mir zu helfen und kenne auch die Schwachstellen der Software (anderes Thema zu dem ich mich nicht mehr äußere und zu dem ich auch kein Feedback mehr gebe; da wurde in der Vergangenheit zu viel Vertrauen zerstört). 

---

@Gelöschter Nutzer schrieb:

was kann man jetzt noch machen?

---

Kerze 🕯 anzünden und beten 🙏? Oder Kaffee 🍵 machen und gespannt auf die nächste Lücke warten? 

Oder aber zu empfehlen: 

• WHO AM I - KEIN SYSTEM IST SICHER
• Mr. Robot
• Hacked – Kein Leben ist sicher

Und nein, keine Utopie ➡️ Wirklichkeit.