Now Reading
Log4Shell-Schwachstelle: Welches wir bisher wissen

Log4Shell-Schwachstelle: Welches wir bisher wissen

Log4Shell-Schwachstelle: Was wir bisher wissen

Jener kritische Fehler im allgegenwärtigen Log4j-Hilfsprogramm hat Schockwellen weit weiterführend die Sicherheitsbranche hinaus ausgelöst – hier ist dasjenige, welches wir bisher wissen

Strecke qua die Weihnachtszeit näher rückt, klopft eine kritische Schwachstelle in einer Apache-Codebibliothek namens Log4j 2 an die Tür. Log4j ist eine Open-Source-Java-basierte Protokollierungsbibliothek, die von vielen Produkten, Diensten und Java-Komponenten weit verbreitet ist. Es überrascht nicht, dass welcher Fehler, welcher hinauf welcher CVSS-Skala eine perfekte 10 erreicht hat und unzählige Server welcher vollständigen Übernehmen aussetzt, Schockwellen weit weiterführend die Sicherheitsbranche hinaus ausgelöst hat.

Tatsächlich erleben wir mit dem schon online verfügbaren Proof-of-Concept-Exploit-Quellcode verschmelzen Massenwettlauf zwischen Hackern, die internetweite Scans handeln und anfällige Systeme ausnutzen, Sicherheitsverteidigern, die Systeme auf den neuesten Stand bringen und Schutzmaßnahmen ergreifen, und Entwicklern , die Anwendungen und Codebibliotheken hinauf Abhängigkeiten testen, die anfällige Versionen welcher Log4j-Bibliothek enthalten könnten.

Welches ist Log4Shell?

Die qua CVE-2021-44228 indizierte Schwachstelle ist eine RCE-Schwachstelle (Remote Quellcode Execution), die es einem Angreifer ermöglicht, Quellcode seiner Wahl hinauf einem betroffenen Server auszuführen. Sollte welcher Angreifer irgendwie in dasjenige lokale Netzwerk gelangen, können zweitrangig interne Systeme, die nicht dem Web ausgesetzt sind, ausgenutzt werden. Letztendlich bedeutet eine RCE-Schwachstelle, dass ein Angreifer keinen physischen Zugriff gesucht, um beliebigen Quellcode auszuführen, welcher zur vollständigen Leistungsnachweis weiterführend betroffene Systeme und zum Entwendung sensibler Datenansammlung münden könnte.

Zeitleiste

Um die Ereignisse im Zusammenhang mit dieser kritischen Sicherheitsanfälligkeit zu verstehen, finden Sie hier eine grundlegende Zeitleiste:

  • 26. November: Die CVE-ID z. Hd. die Schwachstelle ist reserviert.
  • 1. Monat der Wintersonnenwende: The erster bekannter Exploit welcher in freier Wildbahn entdeckten Schwachstelle.
  • 10. Monat der Wintersonnenwende: Die CVE-ID wird veröffentlicht und ein Patch wird veröffentlicht.
  • 11. Monat der Wintersonnenwende: Um 14:24 Uhr mitteleuropäische Zeit erhielt dasjenige Modul zum Sicherheit vor Netzwerkangriffen von ESET ein Erkennungsupdate, dasjenige ebendiese Schwachstelle abdeckt.

Erkennung

ESET hat eine Erkennung z. Hd. Exploits dieser Sicherheitsanfälligkeit veröffentlicht, die sowohl im eingehenden qua zweitrangig im ausgehenden Datenverkehr hinauf Windows-Systemen vorhanden sein könnte. Angreifer, die versuchen, sich seitwärts von solchen Systemen zu explantieren, werden somit gezwungen. Die Erkennung von Exploit-Versuchen wurde mit den folgenden Erkennungsnamen ausgerollt:

  • JAVA/Exploit.CVE-2021-44228
  • JAVA/Exploit.CVE-2021-44228.B

Maßnahmen zur Schadensbegrenzung

Um sich vor Exploits zu schützen, ist es wichtig, sämtliche anfälligen Versionen welcher Bibliothek zu finden. Beginnen Sie damit, eine priorisierte verkettete Liste welcher zu durchsuchenden Systeme zu erstellen und sie nacheinander auszuwerten, während Sie die verkettete Liste durchseihen. Jener knifflige Teil kann darin vorliegen, anfällige Versionen auszuspähen, die in Java Archive (JAR)-Archiven qua transitive Abhängigkeiten leben.

Hier sind manche grundlegende Skripte, die Sie verwenden können (die an Ihre Systeme entsprechend den Wünschen hergerichtet werden sollten):

  • Wiedererkennen Sie dasjenige Vorhandensein von Log4j in Ihren Systemen (Linux und Windows)

Dieses hinauf GitHub verfügbare Skript sucht in jedem .jar-Dokumentensammlung hinauf Ihrem System nachdem welcher fehlerhaften File JndiLookup.class.

Linux

Fenster

  • Wiedererkennen Sie Ausnutzungsversuche welcher Schwachstelle in Ihren Protokollen (Linux)

Dieses Skript, dasjenige zweitrangig unter dem obigen GitHub-Link verfügbar ist, sucht nachdem Ausnutzungsversuchen in unkomprimierten Dateien im Linux-Protokollverzeichnis /var/log und sämtliche seine Unterverzeichnisse:

Grep

Zgrep

Nachdem Sie Skripte oder Erkennungstools vollzogen nach sich ziehen, notieren Sie die Ergebnisse, um eine vollständige Betriebsprüfung-Dokumentation all Ihrer Systeme zu erstellen. Im Kontext einem Betriebsprüfung sollte festgestellt werden, ob Sie Log4j hinauf einem System gefunden nach sich ziehen und ob in den Protokollen Ausnutzungsversuche entdeckt wurden.

  • Wechseln Sie zur neuesten Version von Log4j

Die anfälligen Versionen von Log4j 2 sind sämtliche Log4j-Core-Versionen von 2.0-beta9 solange bis 2.14.1. Im Gedächtnis behalten Sie, dass ebendiese Bibliothek nicht mit log4j-api verwechselt werden darf, die von dieser Sicherheitsanfälligkeit nicht betroffen ist. Dasjenige beste Mittel besteht darin, Ihre Abhängigkeiten zu auf den neuesten Stand bringen, um die neueste Version zu verwenden, die 2.15.0 ist.

Obwohl die Versionen 1.x von Log4j von dieser speziellen Sicherheitsanfälligkeit nicht betroffen sind, weisen sie andere Sicherheitslücken hinauf. Konkrete Pläne sollten vorliegen, um hinauf die neueste Version welcher Bibliothek zu migrieren. Tatsächlich ist jetzt wie immer ein guter Zeitpunkt, um ebendiese Pläne voranzutreiben.

  • Verdächtige IP-Adressen blockieren

Schließlich können IP-Adressen, die qua zwielichtig prestigeträchtig sind, mit Ihrer Firewall und/oder Ihrem Intrusion-Prevention-System gezwungen werden.

Die ESET Kundenbetreuung ist verfügbar Hier.

Dieser Vorbehalt wurde am 14. Monat der Wintersonnenwende um 11.00 Uhr mitteleuropäische Zeit aktualisiert und enthält den Tweet von ESET Research.



What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top