CVE-2021-44228 – Apache Log4j Vulnerability

Was wir bis jetzt wissen; es herrscht Ausnahmezustand.

In aller Kürze…

• Eine neue kritische RCE (Remote-Code-Execution-Schwachstelle) in Apache Log4j2, ein Java-basiertes Protokollierungswerkzeug, wird als CVE-2021-442228 getracked.
• Exploit-Proof-of-Concept-Code ist bereits verfügbar, und wird aktiv ausgenutzt.
• Die Schwachstelle kann und wird sehr weitreichende Auswirkungen haben.
  Angreifer können theoretisch Daten von verwundbaren Server selbst abfließen lassen;
  Details über das interne Netzwerk ausforschen;
  Daten auf verwundbaren Server ändern;
  Daten von anderen Servern im Netzwerk exfiltrieren;
  zusätzliche Hintertüren auf verwundbaren Server oder dem Netzwerk für zukünftige Angriffe einrichten;
  oder weitere Malware wie Ransomware, Netzwerk-Snooper, Memory Scraper, Data Stealer und Cryptominer installieren.
• Dienste und Anwendungen sind weltweit von der Anfälligkeit aufgrund der Prävalenz von log4j2s in vielen Web-Apps betroffen.
• Wir empfehlen aufgrund der hohen Anzahl an verzeichneten Exploit-Versuchen, betroffene Dienste und Anwendungen auf die neueste Version von log4j2 upzugraden.

Welche Sofort-Maßnahmen können vorgenommen werden?

• Ins Internet exponierte Dienste und Anwendungen, die Log4j2 nutzen, so einschränken, dass diese nichts aus dem Internet nachladen können und C2-Traffic blockieren
• Verwundbare Dienste und Anwendungen (primär exponierte, aber auch interne), die die Java-Library log4j-core-2*.jar nutzen, über bspw. Software-Inventory lokalisieren
• log4j auf aktuellste Version upgraden, mindestens log4j-2.15.0-rc2 oder neuer
• Basierend auf den Apache Guide, kann in Versionen >=2.10 das Verhalten durch Setzen der System-Option log4j2.formatMsgNoLookupsoder der Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true entschärft werden.
  Für Versionen von 2.0-beta9 bis 2.10.0 ist die JndiLookup Class aus dem Class-Pfad zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class zu entfernen
• Software-Hersteller-Patches anfordern und einspielen

Was haben wir unternommen?

Das blacklens.io RED-Team ist aktiv geworden und hat sämtliche Kunden-Systeme außertourlich auf Verwundbarkeit geprüft.

Bei uns laufen allerdings die Arbeiten noch.
Nachdem viele Software-Hersteller die Java Library im Einsatz haben, wird sich erst in den nächsten Tage noch ein genaueres Bild zeichnen, welche Dienste und Anwendungen in welcher Art und Weise betroffen sind.

So wie es scheint, herrscht auch bei den Software-Hersteller Außnahmezustand.

Eine Liste mit betroffenen Systemen wird hier auf GitHub gepflegt und kontinuierliche erweitert.

Bis jetzt haben wir mit all uns zur Verfügung stehenden Mitteln unsere blacklens.io Kunden auf Verwundbarkeit geprüft und diese ggf. benachrichtigt.

Wir bleiben an den Entwicklungen dran und werden weiter informieren!