Am 9. Dezember 2021 wurde eine Schwachstelle (CVE-2021-44228) in der bekannten Java-Bibliothek Log4j veröffentlicht. Ebenso wurde ein Proof of Concept (PoC) ^[1] veröffentlicht. Die Schwachstelle erlaubt es einem Angreifer, beliebigen Code aus der Ferne auszuführen.

Das Kritische daran: Diese Bibliothek wird von den meisten Java-Applikationen verwendet und ist relativ einfach ausnutzbar. Um zu überprüfen, ob die Schwachstelle in der eigenen Applikation bereits ausgenutzt wurde, sollten die Applikations- und Webserver-Logs auf etwaige Indizien überprüft werden. ^[2]

Hinweis: Am 13. Dezember wurde ein neuer Blogbeitrag zu diesem Thema veröffentlicht. Dieser enthält ausführlichere Informationen und weitere detailliertere Massnahmenempfehlungen: Update: Remote-Code-Execution-Schwachstelle (RCE) in bekannter Java-Bibliothek – CVE-2021-44228

Was sollte unternommen werden?

Folgende Massnahmen werden dringend empfohlen:

• Bevorzugte Lösung: Installieren Sie Version 2.15.0 der log4j-Bibliothek. Dies könnte jedoch eine Neukompilierung und Neuverteilung der Pakete erfordern.
• Wenn Sie Version 2.10.0 verwenden, können Sie eine Eigenschaft namens formatMsgNoLookups in den Java-Einstellungen auf true setzen, um Lookups zu verhindern.
• Für ältere Versionen müssen die Protokollierungsmuster wie unter dem folgenden Link angegeben geändert werden: https://issues.apache.org/jira/browse/LOG4J2-2109

Wie können sich Unternehmen schützen?

Generell gilt:

• Jeglicher ausgehender Datenverkehr, der nicht benötigt wird, sollte blockiert werden.
• Wenn Sie den Datenverkehr überprüfen, achten Sie auf LDAP- und RMI-Protokolle.
• Applikationen sollten hinter einem Reverse Proxy und / oder einer Web Application Firewall (WAF) ausgeführt werden.

Weitere Informationen und Quellen:

• https://www.lunasec.io/docs/blog/log4j-zero-day/
• https://isc.sans.edu/diary/rss/28120

Über Oneconsult

Die Oneconsult-Unternehmensgruppe ist seit 2003 Ihr renommierter Schweizer Cybersecurity Services Partner mit Büros in der Schweiz und Deutschland und 2000+ weltweit durchgeführten Security-Projekten.

Erhalten Sie kompetente Beratung vom inhabergeführten und herstellerunabhängigen Cybersecurity-Spezialisten mit 40+ hochqualifizierten Cybersecurity Experten, darunter zertifizierte Ethical Hacker / Penetration Tester (OPST, OPSA, OSCP, OSCE, GXPN), IT-Forensiker (GCFA, GCFE, GREM, GNFA), ISO Security Auditoren (ISO/IEC 27001 Lead Auditor, ISO/IEC 27005 Risk Manager, ISO/IEC 27035 Incident Manager) und dedizierte IT Security Researcher, um auch Ihre anspruchsvollsten Herausforderungen im Informationssicherheitsbereich zu bewältigen. Gemeinsam gehen wir Ihre externen und internen Bedrohungen wie Malware-Infektionen, Hacker-Attacken und APT sowie digitalen Betrug und Datenverlust mit Kerndienstleistungen wie Penetration Tests / Ethical Hacking, APT Tests unter Realbedingungen und ISO 27001 Security Audits an. Bei Notfällen können Sie rund um die Uhr (24 h x 365 Tage) auf die Unterstützung des Digital Forensics & Incident Response (DFIR) Expertenteams von Oneconsult zählen.

[1]: https://github.com/tangxiaofeng7/apache-log4j-poc
[2]: https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b