Blog
Hinweis auf kritische Sicherheitslücke in Log4j für Kunden
Unsere Kunden vertrauen darauf, dass wir bei Avantra dafür sorgen, dass ihre auf SAP basierenden Geschäftsabläufe reibungslos ablaufen. Ich habe in der Vergangenheit über die Bedeutung der SAP-Sicherheit gesprochen und dass SAP in den nächsten Jahren zu einem Angriffsvektor für Hacker werden könnte.
Es dürfte nicht überraschen, dass die Sicherheit ein Bereich ist, in den Avantra erheblich investiert hat, seit ich CEO bin. Dazu gehören die Toolchain für sichere Entwicklungsprinzipien, externe Penetrationstests und die Einhaltung der ISO27001 für das Informationssicherheitsmanagement.
Aus praktischer Sicht bedeutet dies, dass wir in Sachen IT-Sicherheit generell proaktiv vorgehen und Software wie snyk.io einsetzen, um sicherzustellen, dass die von Avantra veröffentlichte Software keine bekannten Sicherheitslücken enthält.
Da unsere Software auf Java basiert, verwenden wir eine Reihe von Open-Source-Softwarebibliotheken, die im Internet verfügbar sind, und das bedeutet normalerweise, dass wir mit unseren Prozessen die Sicherheit von Avantra gewährleisten können.
Schwere der Sicherheitslücken
Darüber hinaus kann der Schweregrad von Sicherheitslücken auf drei Achsen gemessen werden.
Erstens ist da die Schwere der Sicherheitslücke. Erlaubt die Schwachstelle die vollständige Kontrolle über das System, die Abschaltung von Diensten oder nur eine einfache Meldung bei der Anmeldung?
Der zweite Punkt ist die Leichtigkeit des Zugangs. Kann das System vom Anmeldebildschirm aus gehackt werden, oder müssen Sie bereits im System angemeldet sein? Wie esoterisch ist der Angriffsvektor?
Der letzte Punkt ist die Anzahl der betroffenen Systeme. Handelt es sich um eine bestimmte Version, die bereits gepatcht wurde, sind alle Versionen betroffen, und wie breit ist die verwendete Software?
In den meisten Fällen sind Sicherheitslücken keine 10/10 auf allen drei Achsen. Oft sind sie nicht allzu schwerwiegend, aber leicht zugänglich, oder sie sind extrem schwerwiegend, aber schwer auszunutzen.
CVE-2021-44228
Als CVE-2021-44228 zum ersten Mal veröffentlicht wurde, schien dies keine große Sache zu sein. Sie erforderte eine neuere Version von Java, auf die Avantra die meisten unserer Kunden vor einigen Versionen aktualisiert hatte, und so waren wir nicht übermäßig besorgt.
Erst später, am Freitagnachmittag und am frühen Samstagmorgen in Europa, stellte sich heraus, dass die Java-Version keine Rolle spielte, und wir veröffentlichten einen Workaround, der die Avantra-Software sicherte.
Skalierung
Es war aber auch klar, dass die Umgehung nicht ideal war, da sie erforderte, dass auf jedem System, auf dem ein Avantra-Agent installiert war, Arbeiten durchgeführt werden mussten. Dies ist für größere Kunden völlig unpraktisch, und so haben wir uns schnell entschieden, neue Avantra-Agenten bereitzustellen. Die Kunden würden die Umgehung immer noch auf dem primären System durchführen, aber neue Agenten für die sehr große Anzahl der von ihnen verwalteten Systeme bereitstellen.
Wir waren darüber nicht so besorgt, weil wir keinen Angriffsvektor für den Avantra-Agenten identifiziert hatten, aber wir konnten nicht sicher sein, dass ein solcher Angriffsvektor nicht vorhanden war.
Die Herausforderung
CVE-2021-44228 wurde dann am Mittwoch erneut ausgenutzt, und wir mussten weitere Korrekturen für CVE-2021-45105 und CVE-2021-45046 veröffentlichen, was uns zum heutigen Stand bringt.
Wir haben auch festgestellt, dass einige Kunden über schnelle Sicherheitsteams verfügen, während andere nur sehr wenig Reaktion zeigen. Das ist eine Herausforderung, denn wir sind besorgt über die Möglichkeit einer Sicherheitsverletzung bei allen Kunden, nicht nur bei denen, die bereits Patches veröffentlicht haben.
Schlusswort
Dies ist mein Aufruf zum Handeln an alle Kunden - bitte lesen Sie diesen Sicherheitshinweis, der heute an die Kunden verschickt wurde, und überprüfen Sie die Version, die Sie verwenden, auch wenn Sie letzte Woche ein Upgrade durchgeführt haben.
Wir sammeln einige grundlegende Anwendungsanalysen, darunter auch die Version von Avantra, die Sie verwenden. Wir werden uns also mit Ihnen in Verbindung setzen, wenn Sie noch nicht aktualisiert haben, um Ihre Pläne zu ermitteln und Ihnen bei Bedarf zu helfen. Wir werden dies so lange verfolgen, bis alle Kundensysteme gepatcht worden sind.
In der Zwischenzeit bitte ich um Entschuldigung für die sich im Laufe der Woche ändernden Hinweise und die Notwendigkeit, in vielen Fällen mehr als ein Upgrade durchzuführen. Die Situation war schnelllebig, und wir haben die besten Informationen zur Verfügung gestellt, die wir zu diesem Zeitpunkt hatten.
Wenn Sie mit dem Kundensupport sprechen möchten, erstellen Sie bitte ein Ticket im Support Hub.
Avantra nimmt die Sicherheit unserer Software und unserer Kunden sehr ernst - sie hat für uns höchste Priorität. Wir ermutigen Sie, proaktive Updates zu erhalten, sobald wir sie veröffentlichen, indem Sie den Sicherheitsbereich in unserem Forum abonnieren.
Related Articles
Avantra 21.11: Avantra um kritische Checks und Automatisierungen...
Was die Avantra-Plattform für...
Avantra 21.11.4: Java-Instanzen ohne SAPControl-Benutzer überwachen
Jede Avantra-Version enthält...
More from our blog
Avantra 21.11.4: Java-Instanzen ohne...
Jede Avantra-Version enthält leistungsstarke Funktionen und Erweiterungen, die die Arbeit mit und ...
Next generation AIOps mit Avantra 21.11
Vor einiger Zeit habe ich einen unserer größten Kunden besucht, um ihm unsere damals aktuelle ...