cisbox Monitoring

08.04.2022 - Sicherheitslücke "Spring4Shell" / Security vulnerability "Spring4Shell"

-for english version, see below-

Aufkleber rund | Deutschland

Eine Schwachstelle innerhalb der Java-Anwendung Spring bedroht weltweit die von Unternehmen eingesetzte IT-Infrastruktur und damit auch zahlreiche angewandte Lösungen und Anwendungen.

Wir nehmen diese Bedrohung sehr ernst. Wir haben unsere Systeme auf mögliche Schwachstellen geprüft und Vorkehrungen getroffen, um unsere angebotenen Lösungen und Dienstleistungen zu schützen.

Sämtliche Kundenservices und Dienstleistungen sind von der aktuell bekannten Sicherheitslücke nicht betroffen. Sofern Java zum Einsatz kommt, verwenden wir angepasste Frameworks, in der die Schwachstelle nicht existiert.
Intern verwendete Programme von Drittanbietern stehen unter genauester Beobachtung und werden ggf. vorsorglich deaktiviert, bis ein entsprechendes Update der jeweiligen Hersteller vorliegt.

Nach eingehender Bewertung konnten wir feststellen, dass wir aktuell nicht dem notwendigen technischen Szenario (bestimmte Java-Version, bestimmte eingesetzte Webserver-Konfiguration u. ä.) entsprechen, um akut von der Schwachstelle bedroht zu sein.

Wir beobachten jedoch weiterhin intensiv unsere Infrastruktur und kontrollieren Logfiles und Aktivitäten innerhalb unseres Netzwerks auf Unregelmäßigkeiten. Ferner werden wir in jedem Fall kurzfristig und in geeignetem Maße reagieren, um alle kunden- und unternehmensbezogenen Systeme gleichermaßen vor Schäden oder Fremdzugriff zu schützen.

Weitere Informationen des Bundesamtes für Sicherheit in der Informationstechnik finden Sie hier: https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/2022/04/warnmeldung_cb-k22-0376_update_2.html

A vulnerability within Java application Spring threatens the deployed IT infrastructure and numerous applied solutions and applications worldwide.
We take the threat very seriously. Our systems were checked for possible vulnerabilities. Precautions were taken to protect our offered solutions and services.

Our customer systems are not affected by the currently known security vulnerability. For Java applications, adapted frameworks without the affected vulnerability are being used.
Internally used third-party software are under the closest monitoring and may be deactivated as a preventive measure until corresponding manufacturer’s update is available.

After a thorough assessment, we were able to determine that we do not currently match the necessary technical case (specific Java version, specific web server configuration, etc.) to be acutely threatened by this vulnerability.

We continue to monitor our infrastructure and check log files and activities within our network for irregularities. In any case, we will react appropriately and at short notice to protect all customer- and company-related systems equally from damage or unauthorised access.

Further information from the Federal Office for Information Security can be found here (German only): https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/2022/04/warnmeldung_cb-k22-0376_update_2.html

23.12.2021 - Update zur Java-Sicherheitslücke "Log4j" / Update for Java security vulnerability "Log4j"

-for english version, see below-

Aufkleber rund | Deutschland

Weitere Updates für Microservices und intern verwendete Drittanbierter-Programme gegen die aktuell bekannte Sicherheitslücke wurden herstellerseitig bereitgestellt und von uns installiert. Auf diese Weise konnten wir die Sicherheit weiter erhöhen und deaktivierte Programme wieder sicher in Betrieb nehmen.

Nach wie vor steht unser gesamtes Netzwerk unter genauer Beobachtung, um mögliche Unregelmäßigkeiten umgehend zu identifizieren.

We installed more manufacturer’s updates for microservices and internally used third-party programs against the currently known vulnerability. In this way, we were able to increase security and safely put deactivated programs back into operation.

As before, our entire network is under close observation in order to identify possible irregularities immediately.

16.12.2021 - Java-Sicherheitslücke "Log4j" / Java security vulnerability "Log4j"

-for english version, see below-

Aufkleber rund | Deutschland

Informationen zur Sicherheitslücke CVE-2021-44228 – Log4j

Eine Schwachstelle innerhalb der Java-Anwendung Log4j bedroht weltweit die eingesetzte IT-Infrastruktur und damit auch zahlreiche angewandte Lösungen und Anwendungen.

Wir haben die Warnhinweise des BSI (Bundesamt für Sicherheit und Informationstechnik) früh wahrgenommen und nehmen die Bedrohung sehr ernst. Bereits am Wochenende in KW49/2021 wurden unsere Systeme auf mögliche Schwachstellen geprüft und Vorkehrungen getroffen, um unsere angebotenen Lösungen und Dienstleistungen zu schützen.

Unsere Kundensysteme sind von der aktuell bekannten Sicherheitslücke nicht betroffen. Sofern Java zum Einsatz kommt, verwenden wir hier angepasste Frameworks, in dem die Schwachstelle nicht existiert.
Java-basierte interne Microservices wurden angepasst und mit Updates versehen, um mögliche Sicherheitslücken zu schließen.
Intern verwendete Programme von Drittanbietern stehen unter genauester Beobachtung und wurden ggf. vorsorglich deaktiviert, bis eine entsprechende Rückmeldung oder ein Update der jeweiligen Hersteller vorliegt.

Alle getroffenen Maßnahmen haben aktuell keinerlei Auswirkungen auf die Verfügbarkeit, die Performance oder die Daten innerhalb der Systeme und dienen ausschließlich der Maximierung unserer IT-Sicherheit.

Wir beobachten auch weiterhin intensiv unsere Infrastruktur, kontrollieren Logfiles und Aktivitäten innerhalb unseres Netzwerks auf Unregelmäßigkeiten und spielen nach Möglichkeit Updates ein, um deaktivierte Programme wieder anzuschließen. Ferner werden wir in jedem Fall kurzfristig und in geeignetem Maße reagieren, um alle kunden- und unternehmensbezogenen Systeme gleichermaßen vor Schäden oder Fremdzugriff zu schützen.

Weitere Informationen des Bundesamtes für Sicherheit in der Informationstechnik finden Sie hier: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html

Information about security vulnerability CVE-2021-44228 – Log4j

A vulnerability within Java application Log4j threatens the deployed IT infrastructure and numerous applied solutions and applications worldwide.

We noticed BSI’s (Federal Office for Information Security, Germany) warnings early and take the threat very seriously. At the weekend of week 49/2021, our systems were checked for possible vulnerabilities. Precautions were taken to protect our offered solutions and services.

Our customer systems are not affected by the currently known security vulnerability. For Java applications, adapted frameworks without the affected vulnerability are being used.
Java-based internal microservices were adapted and provided with updates to close possible security gaps.
Third-party software that is used internally is under the closest monitoring and, if necessary, has been deactivated as a preventive measure until corresponding manufacturer’s feedback or update is available.

All measures have currently no effect on the availability, performance or data within the systems and are taken solely to maximise our IT security.

We continue to monitor our infrastructure, check log files and activities within our network for irregularities and install updates to reconnect deactivated software. In any case, we will react appropriately and at short notice to protect all customer- and company-related systems equally from damage or unauthorised access.

Further information from the Federal Office for Information Security can be found here (German only): https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html

cisbox Monitoring

08.04.2022 - Sicherheitslücke "Spring4Shell" / Security vulnerability "Spring4Shell"

Eine Schwachstelle innerhalb der Java-Anwendung Spring bedroht weltweit die von Unternehmen eingesetzte IT-Infrastruktur und damit auch zahlreiche angewandte Lösungen und Anwendungen.

Wir nehmen diese Bedrohung sehr ernst. Wir haben unsere Systeme auf mögliche Schwachstellen geprüft und Vorkehrungen getroffen, um unsere angebotenen Lösungen und Dienstleistungen zu schützen.

Sämtliche Kundenservices und Dienstleistungen sind von der aktuell bekannten Sicherheitslücke nicht betroffen. Sofern Java zum Einsatz kommt, verwenden wir angepasste Frameworks, in der die Schwachstelle nicht existiert.

Intern verwendete Programme von Drittanbietern stehen unter genauester Beobachtung und werden ggf. vorsorglich deaktiviert, bis ein entsprechendes Update der jeweiligen Hersteller vorliegt.

Nach eingehender Bewertung konnten wir feststellen, dass wir aktuell nicht dem notwendigen technischen Szenario (bestimmte Java-Version, bestimmte eingesetzte Webserver-Konfiguration u. ä.) entsprechen, um akut von der Schwachstelle bedroht zu sein.

Weitere Informationen des Bundesamtes für Sicherheit in der Informationstechnik finden Sie hier: https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/2022/04/warnmeldung_cb-k22-0376_update_2.html

Our customer systems are not affected by the currently known security vulnerability. For Java applications, adapted frameworks without the affected vulnerability are being used.

Internally used third-party software are under the closest monitoring and may be deactivated as a preventive measure until corresponding manufacturer’s update is available.

After a thorough assessment, we were able to determine that we do not currently match the necessary technical case (specific Java version, specific web server configuration, etc.) to be acutely threatened by this vulnerability.

We continue to monitor our infrastructure and check log files and activities within our network for irregularities. In any case, we will react appropriately and at short notice to protect all customer- and company-related systems equally from damage or unauthorised access.

Further information from the Federal Office for Information Security can be found here (German only): https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/2022/04/warnmeldung_cb-k22-0376_update_2.html

23.12.2021 - Update zur Java-Sicherheitslücke "Log4j" / Update for Java security vulnerability "Log4j"

Nach wie vor steht unser gesamtes Netzwerk unter genauer Beobachtung, um mögliche Unregelmäßigkeiten umgehend zu identifizieren.

We installed more manufacturer’s updates for microservices and internally used third-party programs against the currently known vulnerability. In this way, we were able to increase security and safely put deactivated programs back into operation.

As before, our entire network is under close observation in order to identify possible irregularities immediately.

16.12.2021 - Java-Sicherheitslücke "Log4j" / Java security vulnerability "Log4j"

Informationen zur Sicherheitslücke CVE-2021-44228 – Log4j

Eine Schwachstelle innerhalb der Java-Anwendung Log4j bedroht weltweit die eingesetzte IT-Infrastruktur und damit auch zahlreiche angewandte Lösungen und Anwendungen.

Unsere Kundensysteme sind von der aktuell bekannten Sicherheitslücke nicht betroffen. Sofern Java zum Einsatz kommt, verwenden wir hier angepasste Frameworks, in dem die Schwachstelle nicht existiert.

Java-basierte interne Microservices wurden angepasst und mit Updates versehen, um mögliche Sicherheitslücken zu schließen.

Intern verwendete Programme von Drittanbietern stehen unter genauester Beobachtung und wurden ggf. vorsorglich deaktiviert, bis eine entsprechende Rückmeldung oder ein Update der jeweiligen Hersteller vorliegt.

Alle getroffenen Maßnahmen haben aktuell keinerlei Auswirkungen auf die Verfügbarkeit, die Performance oder die Daten innerhalb der Systeme und dienen ausschließlich der Maximierung unserer IT-Sicherheit.

Weitere Informationen des Bundesamtes für Sicherheit in der Informationstechnik finden Sie hier: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html

Information about security vulnerability CVE-2021-44228 – Log4j

A vulnerability within Java application Log4j threatens the deployed IT infrastructure and numerous applied solutions and applications worldwide.

We noticed BSI’s (Federal Office for Information Security, Germany) warnings early and take the threat very seriously. At the weekend of week 49/2021, our systems were checked for possible vulnerabilities. Precautions were taken to protect our offered solutions and services.

Our customer systems are not affected by the currently known security vulnerability. For Java applications, adapted frameworks without the affected vulnerability are being used.

Java-based internal microservices were adapted and provided with updates to close possible security gaps.

Third-party software that is used internally is under the closest monitoring and, if necessary, has been deactivated as a preventive measure until corresponding manufacturer’s feedback or update is available.

All measures have currently no effect on the availability, performance or data within the systems and are taken solely to maximise our IT security.

Further information from the Federal Office for Information Security can be found here (German only): https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html