Climate Solutions Community

log4j ist ein Java Modul, wenn Viessmann ihr Backend in Java geschrieben hat, wäre dass ggf. kritisch. Aber mit dem Apache Webserver hat das nichts zu tun. 

Laut BSI ist auch Apache betroffen ...

[...] Im Gegensatz zur ursprünglichen Einschätzung kann die kritische Schwachstelle ggf. auch auf internen Systemen ausgenutzt werden, sofern diese externe Daten entgegennehmen oder verarbeiten.
Einige Produkthersteller haben bereits öffentlich bzgl. einer möglichen (Nicht-)Betroffenheit ihrer Produkte
hingewiesen und teilweise bereits Updates veröffentlicht [...]. Zu den betroffenen Herstellern gehören beispielsweise:
[...]
• Apache
[...]

log4j ist ein Modul das unter der Apache Software Foundation entwickelt wird. Wie eine ganze Menge anderer Software, wie auch der Webserver. Der nackte Webserver ist nicht betroffen, das war meine Aussage. Kann aber sein das das Backend oder auch das SSO in Java geschrieben ist, dann ist wäre die Wahrscheinlichkeit hoch das dieses Modul genutzt wird. 

Hier eine ähnliche Dikussion ( in Englisch):

https://serverfault.com/questions/1086113/does-apache-webserver-use-log4j-cve-2021-44228

Ich habe meine WLAN Verbindung getrennt. Die Log4J Problematik ist sehr gravierend. Das Risiko, dass mir irgend jemand die Heizung abschaltet/kaputt macht ist mir zu hoch.

1.) In der Vitodens 300 W wird Open Source verwendet. Es wird die Apache Lizenz aufgeführt.

2.) Es gibt ein dramatisches Sicherheitsloch in der Protokollierungssoftware log4J.

3.) Der Server zur ViCare App ist down.

@CustomerCareBen 

> Wann steht ViCare wieder zur Verfügung?

> Wie kann ich die Einzelraumsteuerung ohne ViCare anpassen? Gibt es ein lokales Interface?

> Das zeitliche Zusammenfallen der Sicherheitslücke und des Serverausfalls und Deine Antwort werfen Fragen auf - war die Aussage, dass log4J nicht genutzt wird etwas zu schnell? Letztendlich muss man bei Einsatz von OpenSource-Modulen davon aus gehen, dass log4J irgendwo drin steckt - auch wenn man das nicht selbst aktiv eingebunden hat. Ausschließen kann man die Sicherheitslücke nur durch Tests.

> Ein offizielles Statement zum Thema IT-Sicherheit auf der Viesmann Seite und an prominenter Stelle in der Community wären angemessen. Dazu gehört auch die Offenlegung Problemen/Risiken/Maßnahmen die die Kunden betreffen - aktuell in Bezug auf Log4J. Klarheit ist schlichtweg notwendig, damit sich jeder schützen kann. Nur so kann Vertrauen hergestellt werden.

> Welche Maßnahmen wurden getroffen um Risiken für den Heizbetrieb auszuschließen? 

Ich bitte Dich das Thema intern zu eskalieren. 

Viele Grüße

Henrik

Aktuell sind leider weiterhin Wartungsarbeiten im Gange, weshalb die System derzeit leider noch nicht uneingeschränkt genutzt werden können.

Unsere Entwickler arbeiten aber unter Hochdruck an der Fertigstellung der Wartungsarbeiten. 

Die Einzelraumsteuerung kann ohne ViCare nur durch manuelle Verstellung der Heizkörperthermostate angepasst werden. 

Was das Thema "Log4J" angeht, so bitte ich meine zuvor gegebene Antwort zu berücksichtigen. Wenn das System davon nicht betroffen ist, wozu dann weitere Informationen. 

@CustomerCareBen @HHardt Ich glaube Ihnen ja gerne, dass Sie mit einem Entwickler gesprochen habe und Ihr Backend frei von Log4j ist. Aber da Viesmann nun mal nicht nur eine Heizungsfirma ist, sondern auch eine Software Company, sollte Viesmann sich auch so verhalten. Schauen Sie mal in das Dokument, das auf dieser Seite https://research.hisolutions.com/2021/12/log4shell-schwachstelle-in-log4j-ueberblick/ verlinkt ist. Auf Seite 3 sind vier Quellen verlinkt, mit Statements von anderen Firmen, die etwas professioneller und sicherlich auch rechtlich haltbarer sind,

Grundsätzlich gilt mehr Kommunikation ist besser, so wird zum Beispiel auch die Apache LogJ2 und Apache allgemein vermieden. 

Das kann ich nur unterstreichen  - die Firma Viessmann verhält sich sehr unprofessionell, unkommunikativ und scheint zu denken, dass ihre Kunden uninformierte Nutzer sind!
Kleinere und gleich große Firmen haben von Anfang an aktiv kommuniziert  - auch sehr offen wenn sie sich externes IT Know-how hierfür einkaufen mussten  - kurzfristige Vorsichtsmaßnahmen empfohlen und haben zum Teil auch schon entsprechende (Teil-)Updates bereits ausgerollt.

Wie wäre es mit einer Kommunikation seitens der Geschäftsführung an alle Kunden, wo der Sachverhalt erläutert und die aktuelle Situation benannt wird?

Ping-Pong Beschwichtigungsposts in einem abgeschlossenen Forum stärken nicht gerade das Vertrauen in die Professionalität eines Unternehmen, welches sich Digitalisierung und Kundenzufriedenheit auf die Fahnen geschrieben hat.

Da meine zuerst gegebene Antwort auf Kritik zu stoßen scheint, hier nochmal die förmliche Rückmeldung unserer Entwickler:

Viessmann ist von der aktuellen log4j-Sicherheitslücke nicht betroffen. Alle IT-Systeme sind auf dem neuesten Stand und es gibt deshalb keine Beeinträchtigung des Systembetriebs. Unsere Anwendungen sind geprüft und als sicher gegen die log4j-Sicherheitslücke eingestuft.

Der Ausfall der Viessmann Plattform am vergangenen Wochenende steht nicht im Zusammenhang mit log4j.

Danke für deine konstruktive Kritik, welche ich gerne weitergeben werde. 🙂