Da die Integrität und Sicherheit des Geschäftsbetriebs für alle Unternehmen in allen Branchen essentiell ist, setzt sich ATOSS als Anbieter von Business-Software bedingungslos dafür ein, in ihren Produkten die höchstmögliche Sicherheitsebene aufrechtzuerhalten. ATOSS unterstützt in diesem Kontext die verantwortungsbewusste Offenlegung von Sicherheitslücken.
Um Sie laufend up-to-date zu halten, veröffentlichen wir hier aktuelle Sicherheitshinweise.
Wir informieren Sie hiermit, dass in einer Softwarekomponente eines Drittherstellers eine Schwachstelle festgestellt worden ist. Diese Schwachstelle ist bisher nicht öffentlich bekannt gemacht worden. Nur die ATOSS Produkte ATOSS Staff Efficiency Suite und ATOSS Startup Edition sind von der Schwachstelle betroffen.
Die Schwachstelle kann durch eine Korrektur in der Software korrigiert werden.
Für Ihr ATOSS Produkt ist ab sofort ein Sicherheitsupdate erhältlich, das eine korrigierte Version der Softwarekomponente enthält.
Unsere Kunden der ATOSS Cloudprodukte CLOUD24/7 und Cloud Solution erhalten das Update automatisch.
Unseren Kunden mit On Premises-Softwareprodukten empfehlen wir dringend, dieses Sicherheitsupdate einzuspielen.
Das Update können Sie hier direkt anfordern: Security Update 05/2022.
Diese Woche informierte Oracle über Sicherheitslücken in JAVA
(https://openjdk.java.net/groups/vulnerability/advisories/2022-04-19).
Wir sind derzeit dabei, die Details zu untersuchen und die Risiken zu bewerten. Die kritischste Sicherheitslücke, über die in den Nachrichten berichtet wurde, ist CVE-2022-21449. Da wir keine der betroffenen JAVA-Versionen verwenden (betroffen nur JAVA ab 15, ASES läuft mit JAVA 11), betrifft diese Sicherheitslücke ASES in keinem Falle.
Wir bereiten nichtsdestotrotz ein Update des in unseren Produkten verwendeten JAVA vor. Dies wird geschehen, sobald die Distribution verfügbar ist, voraussichtlich in der Woche ab dem 25.04.22.
Ende März 2022 sind in den weit verbreiteten Java Spring Programmbibliotheken mehrere Sicherheitslücken bekannt geworden (CVE-2022-22965, CVE-2022-22963, CVE-2022-22950). Die ATOSS-Produkte nutzen teilweise ebenfalls die Spring Programmbibliotheken. Unsere Experten haben entsprechend der öffentlich bekannt gewordenen Informationen unsere Produkte detailliert untersucht. Die mögliche Ausnutzung der Sicherheitslücken erfordert verschiedene Voraussetzungen bei der Art der konkreten Nutzung. Nach unserem jetzigen Kenntnisstand sind die Voraussetzungen für kritische Cyberattacken in den ATOSS Produkten nicht erfüllt. Dies gilt für die ATOSS Staff Efficiency Suite, ATOSS Time Control, und auch für die Zusatzprodukte AMIS ATOSS Mobile Integration Server und ABC ATOSS Business Connector. Damit besteht zum jetzigen Zeitpunkt keine erhöhte Gefahr und es sind auch keine konkreten Maßnahmen erforderlich.
In den kommenden Tagen werden wir soweit möglich die Spring Programmbibliotheken in unseren Produkten auf einen neuen Stand aktualisieren, um auch das Risiko noch weitergehender Sicherheitslücken zu minimieren. Die Installation eines Updates auf Kundenseite ist zunächst nicht erforderlich. Wir verfolgen die Entwicklung laufend weiter uns werden, falls erforderlich, weitere Maßnahmen ergreifen.
Am 28. Dezember wurde eine neue Log4j Medium Schwachstelle unter NVD - CVE-2021-44832 (nist.gov) veröffentlicht.
Unsere ATOSS Spezialisten haben sich seither eingehend mit diesen Aspekten beschäftigt und können nach aktuellem Kenntnisstand kein realistisches Bedrohungsszenario für unsere ATOSS Produkte bei Parametrisierungen innerhalb des üblichen Standards zu reproduzieren. Um dennoch eine Bedrohungslage anzunehmen, müssten schon ungewöhnliche Konfigurationen in Verbindung mit einem hochprivilegierten berechtigten Nutzer verwendet worden sein. Darüber hinaus müssten für eine Angreifbarkeit in einigen Fällen interne Voraussetzungen in den ATOSS-Produkten erfüllt sein, die nicht erkennbar gegeben sind.
Vor diesem Hintergrund geht ATOSS derzeit davon aus, dass die ATOSS-Produkte nicht betroffen sind. Nichtsdestotrotz bereitet ATOSS weitere regelmässige Updates für die log4j Bibliothek (Version 2.17.1) vor, so dass unsere Aussagen, die wir am 21.12.2021 in unseren Newsfeeds gemacht haben, weiterhin für alle ATOSS Produkte fortgelten.
Um Missverständnisse zu vermeiden,
für alle Kunden - die als Kunde der ATOSS Time Control das Sicherheitsupdate vom 21.12.2021 bereits installiert haben oder als Kunde der ATOSS Startup Edition oder ATOSS Staff Efficiency ein Sicheheitsupdate, wie in unserem Newsfeed vom 21.12.2021 beschrieben, bereits angefordert haben, besteht bis auf weiteres kein neuer Handlungsbedarf.
Hiermit möchten wir Sie über unsere aktuelle Einschätzung zur Bedrohungslage wie folgt informieren:
Bekannte Schwachstelle (CVE-2021-44228)
NVD - CVE-2021-44228 (nist.gov)
CVE-2021-44228 ist die ursprüngliche hochkritische Schwachstelle „log4shell“, die den Alarmzustand ROT des BSI ausgelöst hat.
Von dieser Schwachstelle sind auch Ihre ATOSS Produkte betroffen. Mit unserem Mailing vom 13.12.2021 haben wir Ihnen bereits eine Mitigation des bekannten Risikos durch entsprechende Konfiguration mit dem Parameter Dlog4j2.formatMsgNoLookups=true empfohlen.
Diese Konfigurationseinstellung wird dringend empfohlen, bis ein Update, das eine neue korrigierte Version der log4j Programmbibliothek enthält, eingespielt wird.
Nach den veröffentlichten Informationen ist die kritische Funktionalität ab log4j Version 2.16.0 nicht mehr enthalten. Gleichwohl bereitet ATOSS weitere Aktualisierungen (Version 2.17.0) vor.
Für Ihr ATOSS Produkt ist ab sofort ein Update erhältlich, das eine korrigierte Version der Bibliothek log4j enthält.
Wir empfehlen Ihnen dringend, dieses Update einzuspielen.
Das Update können Sie hier direkt anfordern: Log4j Security Update 12/2021
Bekannte Schwachstellen (CVE-2021-45046, CVE-2021-45105)
NVD - CVE-2021-45046 (nist.gov)
NVD - CVE-2021-45105 (nist.gov)
Diese beiden Schwachstellen sind in Folge der ursprünglichen Schwachstelle (CVE-2021-44228) aufgedeckt worden. Hierbei handelt es sich um Angriffsmöglichkeiten, die nur ausnutzbar sind, wenn zusätzliche Voraussetzungen erfüllt sind.
Unsere ATOSS Spezialisten haben diese Aspekte detailliert untersucht und können nach aktuellem Kenntnisstand kein realistisches Szenario für unsere ATOSS Produkte bei Parametrisierungen innerhalb des üblichen Standards nachvollziehen. Um gleichwohl eine Bedrohungslage anzunehmen, müssten schon unübliche Konfigurationen zum Einsatz gekommen sein. Darüber hinaus müssten für eine Angreifbarkeit in einigen Fällen interne Voraussetzungen in den ATOSS Produkten erfüllt sein, die nicht vorliegen. Vor diesem Hintergrund geht ATOSS derzeit davon aus, dass die ATOSS Produkte nicht betroffen sind.
Nichtsdestotrotz möchten wir Ihnen ein Update auf die aktuelle Version unbedingt empfehlen.
Für Ihr ATOSS Produkt ist ab sofort ein Update erhältlich.
Das Update können Sie hier direkt anfordern: Log4j Security Update 12/2021
Hiermit möchten wir Sie über unsere aktuelle Einschätzung zur Bedrohungslage wie folgt informieren:
Bekannte Schwachstelle (CVE-2021-44228)
NVD - CVE-2021-44228 (nist.gov)
CVE-2021-44228 ist die ursprüngliche hochkritische Schwachstelle „log4shell“, die den Alarmzustand ROT des BSI ausgelöst hat.
Von dieser Schwachstelle sind auch Ihre ATOSS Produkte betroffen. Mit unserem Mailing vom 13.12.2021 haben wir Ihnen bereits eine Mitigation des bekannten Risikos durch entsprechende Konfiguration mit dem Parameter Dlog4j2.formatMsgNoLookups=true empfohlen.
Diese Konfigurationseinstellung wird dringend empfohlen, bis ein Update, das eine neue korrigierte Version der log4j Programmbibliothek enthält, eingespielt wird.
Nach den veröffentlichten Informationen ist die kritische Funktionalität ab log4j Version 2.16.0 nicht mehr enthalten. Gleichwohl bereitet ATOSS weitere Aktualisierungen (Version 2.17.0) vor.
Für Ihr ATOSS Produkt „ATOSS Time Control" ist ab sofort ein Update erhältlich, das eine korrigierte Version der Bibliothek log4j enthält.
Wir empfehlen Ihnen dringend, dieses Update einzuspielen.
Das Update steht in der Weblounge unter Release History zum Download bereit.
Bekannte Schwachstellen (CVE-2021-45046, CVE-2021-45105)
NVD - CVE-2021-45046 (nist.gov)
NVD - CVE-2021-45105 (nist.gov)
Diese beiden Schwachstellen sind in Folge der ursprünglichen Schwachstelle (CVE-2021-44228) aufgedeckt worden. Hierbei handelt es sich um Angriffsmöglichkeiten, die nur ausnutzbar sind, wenn zusätzliche Voraussetzungen erfüllt sind.
Unsere ATOSS Spezialisten haben diese Aspekte detailliert untersucht und können nach aktuellem Kenntnisstand kein realistisches Szenario für unsere ATOSS Produkte bei Parametrisierungen innerhalb des üblichen Standards nachvollziehen. Um gleichwohl eine Bedrohungslage anzunehmen, müssten schon unübliche Konfigurationen zum Einsatz gekommen sein. Darüber hinaus müssten für eine Angreifbarkeit in einigen Fällen interne Voraussetzungen in den ATOSS Produkten erfüllt sein, die nicht vorliegen. Vor diesem Hintergrund geht ATOSS derzeit davon aus, dass die ATOSS Produkte nicht betroffen sind.
Nichtsdestotrotz möchten wir Ihnen ein Update auf die aktuelle Version unbedingt empfehlen.
Für Ihr ATOSS Produkt „ATOSS Time Control" ist ab sofort ein Update erhältlich.
Das Update steht in der Weblounge unter Release History zum Download bereit.
Cybersicherheit - Sicherheitslücke in der Java-Bibliothek log4j
(Log4Shell, CVE-2021-44228 und CVE-2021-45046)
Wie Sie sicher in den Medien bereits mitbekommen haben, wurde am 10. Dezember 2021 eine kritische IT Sicherheitslücke der weit verbreiteten JAVA-Bibliothek „log4j“ (CVE-2021-44228) bekannt.
ATOSS ist sich der Kritikalität der bekannt gewordenen Sicherheitslücke bewusst und ist unmittelbar seit der Bekanntgabe dieser Schwachstelle dabei, die betroffenen ATOSS Produkte und ATOSS Cloud Services gegen potentielle Angriffe bestmöglich abzusichern. Wir nehmen dieses Problem sehr ernst. Unser erstklassiges Team von Entwicklern und IT- und Cloud-Experten arbeitet mit Hochdruck daran, die Schwachstelle vollständig zu schliessen. Wir gehen davon aus, dass wir unseren vollen Verteidigungszustand schnell wiederherstellen können.
Was sind unsere Reaktionen auf diese Schwachstelle zur Behebung des Problems?
Als Reaktion auf Sicherheitsprobleme agieren wir über mehrschichtige Verteidigungsansätze, die für die Aufrechterhaltung der Sicherheit der Daten unserer Kunden essentiell sind.
Im Lichte der getroffenen Massnahmen konnten wir bisher keinerlei bösartige Zugriffe identifizieren.
ATOSS Sicherheitshinweise zu den ATOSS Produkten
Wir empfehlen unseren Kunden weiterhin, alle ihre Anwendungen und Dienste zu aktualisieren, indem sie Updates, die wir Ihnen zur Verfügung stellen, einspielen und weiterhin den gut durchdachten Empfehlungen und Richtlinien des BSI befolgen. Diese werden hier laufend aktualisiert.
ATOSS aktualisiert und veröffentlicht neue Sicherheitshinweise sowie anstehende Updates laufend in der Rubrik „Security“ auf der ATOSS Website www.atoss.com, sobald weitere Informationen vorliegen. Bitte informieren Sie sich daher regelmässig auf unserer Unternehmenswebsite über alle veröffentlichten Sicherheitshinweise zu den ATOSS Produkten.
Sicherheitsmeldungen über die Entdeckung eines konkreten Vorfalls oder weiterer Schwachstellen teilen Sie uns bitte ausschliesslich in einer E-Mail an security@atoss.com, einschliesslich der relevanten Inhalte zur Sachlage, mit.
ATOSS Sicherheitshinweise zu gelieferter Hardware/Terminals und Fremdsoftware
Aufgrund der vorhandenen Fragestellungen haben wir auch Kontakt mit unseren Hauptanbietern für Terminals aufgenommen. Die folgende Konfigurations- und Kommunikationssoftware ist nach Angaben dieser Hersteller unbedenklich:
Sollten Sie darüber hinaus die folgenden Programme installiert haben, so führen Sie bitte folgende Anpassungen durch:
Bitte kontaktieren Sie bei weiterer Software die betreffenden Hersteller direkt.
Wir bedanken uns für die Beachtung.
Sehr geehrter ATOSS Kunde,
es ist in allen Nachrichten: es wurde eine Sicherheitslücke in einer weit verbreiteten JAVA-Software-Komponente entdeckt. Diese Sicherheitslücke wird generell als hochkritisch eingestuft. Hier die aktuelle Information des BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3
Auch Ihr ATOSS Produkt ist potentiell gefährdet. In den kommenden Tagen wird ATOSS ein Update zur Verfügung stellen. Kurzfristig ist aber bereits durch eine Konfigurationsanpassung ein voller Schutz des Systems realisierbar. Wir empfehlen Ihnen, diese Konfigurationseinstellungen umgehend vorzunehmen.
Dazu ist in der Datei ASES\server\ASESxy\tomcat\conf\wrapper.conf auf jedem konfigurierten Knoten eine Ergänzung am Ende der Datei vorzunehmen. Bitte beachten Sie, dass es für jede unter \ASES\server konfigurierte Funktion gilt, also auch für \ASES\server\AMISxy\tomcat\conf\wrapper.conf oder auch ASES\server\ABCxy\tomcat\conf\wrapper.conf, wenn vorhanden:
# Disable Log4j message lookups
wrapper.java.additional.XY=-Dlog4j2.formatMsgNoLookups=true
Statt “XY” ist die nächst höher folgende Zahl in der Reihe der bereits vorhandenen Einträge zu verwenden.
Ein Neustart der konfigurierten Knoten ist notwendig, damit diese Änderung wirksam wird.
Für Rückfragen steht Ihnen die ATOSS Hotline zur Verfügung.
Mit freundlichen Grüßen
Ihr ATOSS Team
PS: Wenn Ihre ATOSS Staff Efficiency Suite Version < 13 ist, dann setzen Sie sich bitte auf alle Fälle mit uns in Verbindung!
Sehr geehrter ATOSS Kunde,
es ist in allen Nachrichten: es wurde eine Sicherheitslücke in einer weit verbreiteten JAVA-Software-Komponente entdeckt. Diese Sicherheitslücke wird generell als hochkritisch eingestuft. Hier die aktuelle Information des BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3
Auch Ihr Produkt ATOSS Time Control ist potentiell gefährdet. In den kommenden Tagen wird ATOSS ein Update zur Verfügung stellen. Kurzfristig ist aber bereits durch eine Konfigurationsanpassung ein voller Schutz des Systems realisierbar.
Wir empfehlen Ihnen, diese Konfigurationseinstellungen umgehend vorzunehmen. Wir schließen uns hier der BSI-Empfehlung an.
Bitte setzen Sie – wie hier im Dokument auf Seite 3 Mitte unter „Update 2“ beschrieben – die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf den Wert „true“.
Die Umgebungsvariable sollte als Systemumgebungsvariable gesetzt werden, sofern ATOSS Time Control bzw. der AMIS (ATOSS Mobile Information Server) als Dienst betrieben werden. Sofern für den Dienst ein spezielles Benutzerkonto verwendet wird, kann die Umgebungsvariable auch für diesen Benutzer gesetzt werden. Die Umgebungsvariable muss auch gesetzt werden, wenn Sie ATOSS Time Control als Anwendung oder im Container betreiben.
Anschließend ist ein Neustart aller Komponenten der ATOSS Time Control Lösung notwendig, damit diese Änderung wirksam wird.
Für Rückfragen steht Ihnen die ATOSS Hotline zur Verfügung.
Mit freundlichen Grüßen
Ihr ATOSS-Team
PS: Wenn Ihre ATOSS Time Control-Version < 9.5 ist, dann setzen Sie sich bitte auf alle Fälle mit uns in Verbindung!