Am 9. Dezember 2021 wurde eine Schwachstelle (CVE-2021-44228) in der bekannten Java-Bibliothek Log4j veröffentlicht. Ebenso wurde ein Proof of Concept (PoC) [1] veröffentlicht. Die Schwachstelle erlaubt es einem Angreifer, beliebigen Code aus der Ferne auszuführen.
Das Kritische daran: Diese Bibliothek wird von den meisten Java-Applikationen verwendet und ist relativ einfach ausnutzbar. Um zu überprüfen, ob die Schwachstelle in der eigenen Applikation bereits ausgenutzt wurde, sollten die Applikations- und Webserver-Logs auf etwaige Indizien überprüft werden. [2]
Hinweis: Am 13. Dezember wurde ein neuer Blogbeitrag zu diesem Thema veröffentlicht. Dieser enthält ausführlichere Informationen und weitere detailliertere Massnahmenempfehlungen: Update: Remote-Code-Execution-Schwachstelle (RCE) in bekannter Java-Bibliothek – CVE-2021-44228
Was sollte unternommen werden?
Folgende Massnahmen werden dringend empfohlen:
- Bevorzugte Lösung: Installieren Sie Version 2.15.0 der log4j-Bibliothek. Dies könnte jedoch eine Neukompilierung und Neuverteilung der Pakete erfordern.
- Wenn Sie Version 2.10.0 verwenden, können Sie eine Eigenschaft namens formatMsgNoLookups in den Java-Einstellungen auf true setzen, um Lookups zu verhindern.
- Für ältere Versionen müssen die Protokollierungsmuster wie unter dem folgenden Link angegeben geändert werden: https://issues.apache.org/jira/browse/LOG4J2-2109
Wie können sich Unternehmen schützen?
Generell gilt:
- Jeglicher ausgehender Datenverkehr, der nicht benötigt wird, sollte blockiert werden.
- Wenn Sie den Datenverkehr überprüfen, achten Sie auf LDAP- und RMI-Protokolle.
- Applikationen sollten hinter einem Reverse Proxy und / oder einer Web Application Firewall (WAF) ausgeführt werden.
Weitere Informationen und Quellen:
Über den Autor
Fabian Murer schloss seinen Master in Informatik mit Vertiefungsrichtung Information Security im April 2018 an der ETH Zürich ab. In seiner Masterarbeit entwickelte er ein digitales Signierungssystem, welches die Daten basierend auf QR-Codes nur über eine Luftbrücke übermittelt. Sein Interesse an Penetration Testing und Hacking Challenges brachte Fabian Murer im Herbst 2017 in das Finale der Swiss Cyber Storm. Er ist zertifizierter GIAC Network Forensic Analyst (GNFA), GIAC Defender of Advanced Threats (GDAT), GIAC Certified Forensic Examiner (GCFE), Offensive Security Certified Professional (OSCP), OSSTMM Professional Security Tester (OPST) und seit 2018 Digital Forensics & Incident Response Specialist bei Oneconsult. Im April 2021 wurde Fabian Murer zum Senior Digital Forensics & Incident Response Specialist befördert.
Über Oneconsult
Die Oneconsult-Unternehmensgruppe ist seit 2003 Ihr renommierter Schweizer Cybersecurity Services Partner mit Büros in der Schweiz und Deutschland und 2000+ weltweit durchgeführten Security-Projekten.
Erhalten Sie kompetente Beratung vom inhabergeführten und herstellerunabhängigen Cybersecurity-Spezialisten mit 40+ hochqualifizierten Cybersecurity Experten, darunter zertifizierte Ethical Hacker / Penetration Tester (OPST, OPSA, OSCP, OSCE, GXPN), IT-Forensiker (GCFA, GCFE, GREM, GNFA), ISO Security Auditoren (ISO/IEC 27001 Lead Auditor, ISO/IEC 27005 Risk Manager, ISO/IEC 27035 Incident Manager) und dedizierte IT Security Researcher, um auch Ihre anspruchsvollsten Herausforderungen im Informationssicherheitsbereich zu bewältigen. Gemeinsam gehen wir Ihre externen und internen Bedrohungen wie Malware-Infektionen, Hacker-Attacken und APT sowie digitalen Betrug und Datenverlust mit Kerndienstleistungen wie Penetration Tests / Ethical Hacking, APT Tests unter Realbedingungen und ISO 27001 Security Audits an. Bei Notfällen können Sie rund um die Uhr (24 h x 365 Tage) auf die Unterstützung des Digital Forensics & Incident Response (DFIR) Expertenteams von Oneconsult zählen.
[1]: https://github.com/tangxiaofeng7/apache-log4j-poc
[2]: https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
