Was wir bis jetzt wissen; es herrscht Ausnahmezustand.
In aller Kürze…
Eine neue kritische RCE (Remote-Code-Execution-Schwachstelle) in Apache Log4j2, ein Java-basiertes Protokollierungswerkzeug, wird als CVE-2021-442228 getracked.
Exploit-Proof-of-Concept-Code ist bereits verfügbar, und wird aktiv ausgenutzt.
Die Schwachstelle kann und wird sehr weitreichende Auswirkungen haben.
Angreifer können theoretisch Daten von verwundbaren Server selbst abfließen lassen; Details über das interne Netzwerk ausforschen; Daten auf verwundbaren Server ändern; Daten von anderen Servern im Netzwerk exfiltrieren;
zusätzliche Hintertüren auf verwundbaren Server oder dem Netzwerk für zukünftige Angriffe einrichten;
oder weitere Malware wie Ransomware, Netzwerk-Snooper, Memory Scraper, Data Stealer und Cryptominer installieren.
Dienste und Anwendungen sind weltweit von der Anfälligkeit aufgrund der Prävalenz von log4j2s in vielen Web-Apps betroffen.
Wir empfehlen aufgrund der hohen Anzahl an verzeichneten Exploit-Versuchen, betroffene Dienste und Anwendungen auf die neueste Version von log4j2 upzugraden.
Welche Sofort-Maßnahmen können vorgenommen werden?
Ins Internet exponierte Dienste und Anwendungen, die Log4j2 nutzen, so einschränken, dass diese nichts aus dem Internet nachladen können und C2-Traffic blockieren
Verwundbare Dienste und Anwendungen (primär exponierte, aber auch interne), die die Java-Library log4j-core-2*.jar nutzen, über bspw. Software-Inventory lokalisieren
log4j auf aktuellste Version upgraden, mindestens log4j-2.15.0-rc2 oder neuer
Basierend auf den Apache Guide, kann in Versionen >=2.10 das Verhalten durch Setzen der System-Optionlog4j2.formatMsgNoLookupsoder der UmgebungsvariableLOG4J_FORMAT_MSG_NO_LOOKUPS auf trueentschärft werden.
Für Versionen von 2.0-beta9 bis 2.10.0 ist die JndiLookup Class aus dem Class-Pfadzip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class zu entfernen
Software-Hersteller-Patches anfordern und einspielen
Was haben wir unternommen?
Das blacklens.ioRED-Team ist aktiv geworden und hat sämtliche Kunden-Systeme außertourlich auf Verwundbarkeit geprüft.
Bei uns laufen allerdings die Arbeiten noch.
Nachdem viele Software-Hersteller die Java Library im Einsatz haben, wird sich erst in den nächsten Tage noch ein genaueres Bild zeichnen, welche Dienste und Anwendungen in welcher Art und Weise betroffen sind.
So wie es scheint, herrscht auch bei den Software-Hersteller Außnahmezustand.
Eine Liste mit betroffenen Systemen wird hier auf GitHub gepflegt und kontinuierliche erweitert.
Bis jetzt haben wir mit all uns zur Verfügung stehenden Mitteln unsere blacklens.io Kunden auf Verwundbarkeit geprüft und diese ggf. benachrichtigt.
Wir bleiben an den Entwicklungen dran und werden weiter informieren!
Wir verwenden Cookies, um unsere Website und unseren Service zu optimieren.
Funktionale Cookies
Immer aktiv
Der Zugriff oder die technische Speicherung ist unbedingt für den rechtmäßigen Zweck erforderlich, um die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Abonnenten oder Nutzer ausdrücklich angefordert wurde, oder für den alleinigen Zweck der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Voreinstellungen erforderlich, die nicht vom Abonnenten oder Nutzer beantragt wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Aufforderung, die freiwillige Zustimmung Ihres Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht zu Ihrer Identifizierung verwendet werden.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.