(UPDATE 21.12.21) Java Log-Sicherheitslücke CVE-2021-44228

+++ UPDATE 21.12.2021 +++

Die Sicherheitslücke in log4j wird weiterhin sehr stark ausgenutzt. Inzwischen sind auch staatliche Institutionen von Angriffen betroffen und mussten komplette Teile der Infrastruktur herunterfahren.

Die Hinweise darauf, dass bereits ein funktionsfähiger Wurm im Umlauf ist, verdichten sich. Der Wurm sucht automatisiert nach betroffenen Systemen und greift diese an – vermutlich mit Ziel ein Botnetz aufzubauen.

Parallel beginnen prominente Hackergruppen mit der Ausnutzung der Lücke.

Etliche Angebote von Ransomware-as-a-Service werden vorbereitet. Dabei nutzen Angreifer die Lücke aus, festigen den Zugriff auf die Systeme und platzieren eine Ransomware auf dem System. Der angriffsfertige Zugang wird im Anschluss zum Kauf angeboten.

Da die Patches für log4j auf Version 2.15 und 2.16 ebenfalls andere Sicherheitslücken nutzbar gemacht haben, ist aktuell die Patch Version 2.17 verfügbar.


Empfehlungen zum Schutz der Systeme:

Es wird empfohlen alle Systeme mit der aktuellen Patch-Version 2.17 auszustatten. Auch Hersteller sind angehalten ihre Produkte entsprechend mit den aktuellen Updates auszustatten.

+++ Der ursprüngliche Workaround die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf TRUE zu setzen ist zur Behebung nicht ausreichend! +++

Weiterhin wird empfohlen, alle potenziell gefährdeten Systeme einem eingehenden Audit zu unterziehen und die IT-Security-Infrastruktur engmaschig auf Auffälligkeiten zu kontrollieren.

+++ Bei Bedarf unterstützen wir Sie natürlich gerne bei der Analyse Ihrer Systeme und geben Ihnen konkrete Handlungsempfehlungen. +++ Telefon: +49 6022 65193-0 +++

+++ UPDATE 13.12.2021 +++

Laut neuesten Erkenntnissen kann durch die Log4Shell Lücke nun direkt über einen entsprechenden Aufruf Code nachgeladen werden. Somit ist die Lücke noch gravierender geworden.

In der Folge sind nun auch BlackBerry Systeme und MobileIron Systeme anfällig. Wir haben von beiden Herstellern entsprechende Informationen zur Mitigierung erhalten.

Hier gibt es generelle Hinweise zur Mitigierung:

https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/#4-how-to-mitigate-the-issue

Talos Intelligence geht davon aus, dass die Lücke bereits ab dem 02.12.2021 ausgenutzt werden konnte. Darauf deuten aktuell verschiedene Muster in Angriffen hin. Weiterhin ist davon auszugehen,

dass Angreifer nicht sofort damit beginnen eventuelle Angriffe auf Infrastrukturen weiterzuführen. Vielmehr ist damit zu rechnen, dass jetzt abgewartet wird und potenziell weitergehende Angriffe zu einem späteren Zeitpunkt begonnen werden. Ausgangspunkt hierfür sind dann die durch Log4Shell übernommenen Systeme.

Quelle: https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html

Dringende Empfehlung ist eine regelmäßige Überprüfung der Liste betroffener Produkte: https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Wenn Produkte aus dieser Liste im Einsatz sind sollten diese sehr genau untersucht und weiter im Auge behalten werden. Wir haben ein von Huntress Security veröffentlichtes Tool bei uns in der Infrastruktur aufgesetzt, um die Möglichkeit zu haben Systeme zu testen.

Sollten Sie hier Bedarf haben sprechen Sie uns an help@agilimo.de .

Das BSI hat seine Einschätzung ebenfalls aktualisiert: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=7

+++ ORIGINAL BEITRAG vom  11.12.2021 +++
Am Freitag 09.12.2021 wurde eine kritische Sicherheitslücke in der von Apache entwickelten Java-Komponente log4j veröffentlicht, die bereits ausgenutzt wird. Die Sicherheitslücke, benannt als „Log4Shell“, wird unter CVE-2021-44228 geführt. Um die Lücke auszunutzen, genügt eine manipulierte Anfrage an einen verwundbaren Server oder eine angreifbare Anwendung.
 
Leider sind sehr viele, auch sicherheitskritische Applikationen und Systeme von der Sicherheitslücke betroffen. Darunter u.a. Cisco, F5, VMWare, Citrix. Eine Übersicht über die betroffenen Hersteller finden Sie hier:
 
 
Wir haben das Risiko für die von uns betreuten Anwendungen, insbesondere die MDM-Applikationen von BlackBerry und MobileIron untersucht und kommen zu dem Ergebnis, dass hier zunächst keine Gefährdung besteht, obwohl die verwundbare Java-Komponente log4j hier zum Einsatz kommt. Als risikomindernd ist anzusehen, dass die betroffenen Applikationen i.d.R. nicht direkt aus dem Internet erreichbar sind und sich ein Angriffsszenario auf Angriffe aus dem internen Netz beschränkt.
 
Apache als Entwickler der betroffenen Java-Komponente hat bereits eine neue Version veröffentlicht. Wir erwarten Hinweise und ggf. aktualisierte Softwareversionen der Hersteller in den nächsten Tagen und werden Sie auf dem Laufenden halten.
 
Sollten Sie weitere Produkte im Einsatz haben, die Apache-Komponenten nutzen, sollten diese ebenfalls überprüft werden. Auf Wunsch unterstützen wir Sie natürlich gerne bei der Prüfung aller in Frage kommenden Produkte.
 
Nähere Informationen finden Sie z.B. hier:
Teile diesen Beitrag
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on email
Email