Eine Sicherheitslücke im Java-Logging log4j sorgt aktuell für Schlagzeilen und eine Menge Verunsicherung in vielen IT-Abteilungen unserer Kunden. Die Lücke befindet sich in einer beliebten Java-Bibliothek und ist daher sehr verbreitet und leider auch trivial ausnutzbar. Im Hinblick auf die wachsende Bedrohung hat das BSI bereits Samstagnacht die Warnstufe Rot ausgerufen!

Eine Liste der aktuellen Meldungen unserer Hersteller sowie weiterführender Nachrichten finden Sie am Ende dieses Artikels.

Welche Schutzmaßnahmen können Sie treffen?

Wie so oft ist es nicht möglich, sich zu 100 Prozent gegen solche Schwachstellen oder daraus entstehende Angriffe zu schützen. Das Ziel aller Aktivitäten muss daher die Verringerung der Angriffsfläche und der Angriffswahrscheinlichkeit darstellen!

Der Angriffsvektor ist für extern zugängliche Systeme um ein Vielfaches höher, als wenn der Service nur im internen Netz erreichbar ist. Es empfiehlt sich daher, zuerst die extern erreichbaren Systeme wie Firewalls, Frontend-Lösungen, Portale, Gateways etc. zu behandeln und anschließend alle internen Systeme.

Folgende Aktivitäten sollten IT-Teams nun zeitnah umsetzen:

  1. Empfehlungen der Hersteller umsetzen
    1. Setzen von Variablen innerhalb der Java-Konfiguration, um die Lookup-Funktion zu unterbinden und Neustart der jeweiligen Applikation
    2. Entfernen der kompletten Java-Klasse bei älteren Java-Versionen
  2. Dienste & Services testen
    1. Falls es keine Hinweise der Hersteller auf die Anfälligkeit Ihrer Lösung in Bezug auf Log4j gibt, muss zeitnah selbst getestet werden.
    2. Tools wie log4j-detector oder Dienste wie CanaryTokens können hier Unterstützung leisten.
  3. Dienste abschotten bzw. zusätzlich absichern
    1. Zugangsbeschränkungen erzeugen
    2. Netzwerke segmentieren
    3. Rechte reduzieren (least privilege)
    4. Ausgehende Verbindungen einschränken
    5. Ausführbare Programme beschränken
  4. Blockieren und Filtern
    1. Cloud-Services wie Cloudflare können als vorgelagerte WAF (Web Application Firewall) Anfragen erkennen und unterbinden, bieten aber keinen dauerhaften Schutz bei starker oder schneller Variierung der Angriffspattern!
    2. IT-Security-Lösungen wie Enginsight können bei der Analyse der Schwachstelle oder der Abwehr von Angriffen unterstützen
    3. Aktuell finden die meisten „Fingerprinting“-Aktivitäten, also das Scannen von Systemen zum Auffinden der Schwachstelle, aus dem TOR-Netzwerk statt. Das Sperren aller TOR-Exit-Nodes auf der Firewall ist daher eine valide Option. Inwieweit die finalen Angriffe dann ebenfalls aus dem TOR-Netzwerk stattfinden, bleibt aber dahingestellt!
  5. Monitoring intensivieren
    1. Vorhandene Monitoring-Systeme und Alarme intensiver betrachten und auswerten
    2. Monitoring und Alarme anpassen, um ggf. verdächtige Zeichenketten in Logs besser zu erkennen und schneller reagieren zu können

Fazit

Die Log4j-Schwachstelle ist kein einfaches Problem, das sich durch das Einspielen eines Updates auf einem dedizierten System lösen lässt. Es ist davon auszugehen, dass die IT-Branche Wochen oder Monate damit beschäftigt sein wird, die betroffenen Systeme zu finden und das Problem Schritt für Schritt bzw. System für System einzudämmen.

Die Experten der Concat AG unterstützen Sie gerne bei der Absicherung Ihrer Systeme: bei der akuten Umsetzung von Herstellerempfehlungen, beim Testen von Applikationen und bei der Einrichtung von Monitoring-Systemen. Als Partner von Cloudflare und Enginsight haben wir zudem die Möglichkeit und das Know-how, diese Lösungen als zusätzlichen Schutz zeitnah in Ihrem Unternehmen zu etablieren.

Allgemeine Informationen

https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://logging.apache.org/log4j/2.x/security.html
https://www.heise.de/ratgeber/Schutz-vor-schwerwiegender-Log4j-Luecke-was-jetzt-hilft-und-was-nicht-6292961.html
https://therecord.media/first-log4shell-attacks-spreading-ransomware-have-been-spotted/

HiSolution Research

https://research.hisolutions.com/
https://research.hisolutions.com/2021/12/log4shell-schwachstelle-in-log4j-ueberblick/

Kuratierte Liste aller Herstellermeldungen

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
https://github.com/cisagov/log4j-affected-db
https://github.com/NCSC-NL/log4shell/tree/main/software

Concat-Hersteller-Liste

Fortinet:
https://www.fortinet.com/blog/psirt-blogs/apache-log4j-vulnerability
https://www.fortiguard.com/psirt/FG-IR-21-245 

VMware:
https://blogs.vmware.com/vsphere/2021/12/vmsa-2021-0028-log4j-what-you-need-to-know.html
https://www.vmware.com/security/advisories/VMSA-2021-0028.html

Veeam:
https://community.veeam.com/blogs-and-podcasts-57/log4j-vulnerability-what-do-you-need-to-know-1851 

Microsoft:
https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

Citrix:
Citrix Security Advisory for Apache CVE-2021-44228https://support.citrix.com/article/CTX335705
(Netscaler ADC /CVAD NOT IMPACTED, andere Produkte sind noch in Klärung)

Dell:
https://www.dell.com/support/kbdoc/de-de/000194414/dell-response-to-apache-log4j-remote-code-execution-vulnerability 
(Einige Produkte noch in Klärung bzw. kein Fix vorhanden)
https://www.dell.com/support/kbdoc/en-us/000194372/dsn-2021-007-dell-response-to-apache-log4j-remote-code-execution-vulnerability
(Hier sind die Produkte aufgelistet, für die eine Mitigation existiert)

Sophos:
https://news.sophos.com/de-de/2021/12/12/java-schwachstelle-log4shell-was-passiert-ist-und-was-zu-tun-ist/ 

Cloudflare:
https://blog.cloudflare.com/cve-2021-44228-log4j-rce-0-day-mitigation/

NetApp:
https://security.netapp.com/advisory/ntap-20211210-0007/

HPE:
https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=a00120086en_us
https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbgn04215en_us

Ruckus:
https://support.ruckuswireless.com/security_bulletins/313

Mirocfocus / DataProtector:
https://portal.microfocus.com/s/article/KM000003052?language=en_US

Broadcom/Brocade:
https://www.broadcom.com/log4j
https://www.broadcom.com/support/fibre-channel-networking/security-advisories/brocade-security-advisory-2021-1651

Symantec:
https://support.broadcom.com/security-advisory/content/security-advisories/Symantec-Security-Advisory-for-Log4j-2-CVE-2021-44228-Vulnerability/SYMSA19793

Fujitsu / FTS:
https://support.ts.fujitsu.com/ProductSecurity/content/Fujitsu-PSIRT-PSS-IS-2021-121000-Security-Notice-SF.pdf

FAST-LTA
https://blog.fast-lta.de/en/log4j2-vulnerability

Datacore
https://datacore.custhelp.com/app/answers/detail/a_id/2201/kw/log4j

Weitere Informationen

Heise News:
https://www.heise.de/news/Kritische-Zero-Day-Luecke-in-log4j-gefaehrdet-zahlreiche-Server-und-Apps-6291653.html

https://www.heise.de/news/Roter-Alarm-Log4j-Zero-Day-Luecke-bedroht-Heimanwender-und-Firmen-6292863.html

Empfohlene Abwehrmaßnahmen des BSI:
https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Schwachstelle_Log4j_211210.html

Ich möchte mehr erfahren über Web-Service Protection

Wie Sie schnell Ihre Systeme schützen können