Welches zu tun ist, während Sie hinauf die Log4J-Updates warten

Forscher warnen davor, dass Angreifer die neu veröffentlichte Sicherheitslücke in Log4j, dem Java-basierten Protokollierungstool von Apache, lebenskräftig ausnutzen. Während dieser Majorität dieser Arbeit zur Eindämmung von CVE-2021-44228 hinauf Anwendungsbesitzer und Softwareentwickler fällt, sollen ebenfalls die Sicherheitsteams von Unternehmen ihren Teil dazu hinzufügen, die Sicherheit ihrer Unternehmen zu gewährleisten.

Dieser Tech-Tipp bietet kurzfristige Abhilfemaßnahmen für jedes betroffene Enterprise-Sicherheitsteams, die noch keine Updates zur Verfügung nach sich ziehen, die Updates aus irgendeinem Grund nicht sofort installieren können oder gar keine Updates erhalten.

Stellen Sie sich dasjenige folgende Szenario vor: Ein Kreditor verfügt darüber hinaus eine Finanzanwendung, die Java und die anfällige Version von Log4j verwendet. Jede Organisation, die die Client-Softwareanwendungen verwendet, um hinauf ebendiese Java-Softwareanwendungen zuzugreifen, ist ebenfalls wechselhaft für jedes Remote-Codeausführung, da dieser Client wahrscheinlich ebenfalls Log4j verwendet. In diesem Szenario befindet sich dasjenige Unternehmen in einer schwierigeren Status, da es warten muss, solange bis dieser Versorger sowohl die Hauptanwendung denn ebenfalls den Client aktualisiert. Dies könnte niemals für jedes eine Legacy-Softwareanwendungen sein.

„Jede Java-Softwareanwendungen, die die betroffenen log4j-Versionen verwendet und darüber hinaus dasjenige Netzwerk zugänglich ist, kann ausgenutzt werden, und viele dieser Anwendungen sind wahrscheinlich von Drittanbietern und verwaltungsmäßig nicht in den Händen des Benutzers“, sagt Karl Sigler, Senior Security Research Manager, Trustwave SpiderLabs.

Schritttempo 1: Exposition identifizieren

Die potenzielle Angriffsfläche ist unglaublich weit, sagt Lukentür Richards, Threat Intelligence Lead unter Vectra. Randori hat eine Softwareanwendungen, die hilft zu testen, ob die log4j-Instanz unversperrt ist. Sie können nachher dem Vorhandensein von JAR-Dateien suchen log4j-core-*.jar um festzustellen, ob log4j verwendet wird.

Die Sicherheitslücke (CVE 2021 44228) existiert in Log4j-Versionen vor 2.14.1, von dort ist jede Java-Softwareanwendungen, die die anfällige Version verwendet, gefährdet. Eine Schlange von Apache-Tools sind wechselhaft – Struts 2, Solr, Druid und Fink – gleichwohl dasjenige Problem geht weit darüber hinaus ebendiese verkettete Liste hinaus, da Java in Unternehmen so weit verbreitet ist.

Laut BitDefender Labs hat sich die Gesamtzahl dieser Scans gegen die Log4j-Schwachstelle an einem einzigen Tag verdreifacht. Die Zahlen basieren hinauf Telemetriedaten des globalen Honeypot-Netzwerks von Bitdefender. Die meisten Scans stammen von in Russland ansässigen IP-Adressen, sagt dasjenige Team.

Dieser anfängliche Vektor ist ebenfalls schwergewichtig zu wiedererkennen, da er dasjenige Durchsuchen dieser Protokolle nachher einer bestimmten Zeichenfolge erfordert, sagt Richards. Analysten können sich die Roheingabe zum log4j-Server ansehen und unter allen externen LDAP-Verbindungen Warnmeldungen vornehmen oder nachher externen Verbindungen von Log-Servern zu Java-Klassendateien suchen, sagt Richards. Die Warenmuster in Textfeldern wie Benutzer-Privatdetektiv: /${jndi:.*/ sind „ein verräterisches Zeichen für jedes Versuche, Server zu kompromittieren“, sagt Richards.

Unternehmen sollen herausfinden, welche ihrer Anwendungen die anfällige Komponente verwenden, sagt Avi Shua, Mitbegründer und Geschäftsführer von Orca Security. Eine Möglichkeit, dies zu tun, ist dasjenige kontinuierliche Scan-Tool. Nachdem extern gerichtete Assets sollten krampfhaft werden. „Wir empfehlen, nachher extern gerichtete Anwendungen zu blockieren, die die anfällige Bibliothek verwenden, es sei denn, es besteht Zuversicht, dass ebendiese Sicherheitsanfälligkeit nicht ausgenutzt werden kann oder eine aktualisierte Version veröffentlicht wird“, sagt Shua.

Yara-Reglementieren zur Suche nachher potenziellen Kompromissversuchen wurden ebenfalls veröffentlicht.

Richards empfiehlt, Hosts zu finden, die notfalls log4j rüberbringen (z. B. Apache Tomcat und Struts) und sie in eine Partie zu verschieben, damit sie leichter überwacht und nachverfolgt werden können.

Im ursprünglichen Szenario blockierte die Organisation LDAP und notfalls RMI und CORBA. Endbenutzer können sich mit anderen Personen in dieser Partie updaten, sagt Sigler. Die Organisation sollte den LDAP-Datenverkehr (und notfalls RMI und CORBA je nachher zukünftigen Varianten) blockieren und den Datenverkehr beaufsichtigen.

Schritttempo 2: Abschwächungen anwenden

Updaten Sie hinauf die neueste Java-Version, da dies dasjenige Laden einer Remote-Codebase mithilfe von LDAP verhindert, sagt Bojan Zdrnja, Senior Instructor am SANS Institute und Chief Technical Officer unter INFIGO. „Dieser aktuelle Ausnutzungsmechanismus wird durch die neueste Java-Version krampfhaft, die setzt com.sun.jndi.object.trustURLCodebase wahr werden“, sagt Zdrnja.

Wenn Log4j nicht aktualisiert werden kann, setzen Sie die log4j2.formatMsgNoLookups Unbekannte hinauf true beim Starten dieser Java Virtual Machine macht die Schwachstelle nicht ausnutzbar, sagt Apache in seinem Advisory. Die Befehlszeilenoption ist -Dlog4j.formatMsgNoLookups=true . Setzen des JVM-Flags (log4j2.formatMsgNoLookups=true) in einer File component.properties im Klassenpfad verhindert ebenfalls dasjenige Nachschlagen in Protokollereignismeldungen.

Apache schlägt außerdem vor, die JndiLookup-Stil manuell aus dem Klassenpfad zu explantieren (zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class) zum Sicherheit vor Remotecodeausführung. Dies Explantieren dieser Jndi Manager-Stil aus führt dazu, dass JndiContextSelector und JMSAppender nicht mehr gehen.

Geprotze %m{nolookups} in dieser PatternLayout-Konfiguration verhindert dasjenige Nachschlagen in Protokollereignismeldungen.

Eine andere Möglichkeit besteht darin, den ausgehenden Datenverkehr am Perimeter zu kontrollieren und den LDAP- und RMI-Datenverkehr nachher Möglichkeit zu blockieren, sagt Zdrnja.

Schritttempo 3: Vorhandene Schutzmaßnahmen verwenden

C/o den oben genannten Methoden wird davon ausgegangen, dass Updates schließlich weit verbreitet sind. C/o Legacy-Anwendungen gibt es keine Updates, Sicherheit oder sonstiges. Legacy-Tools „sollen zusammenführen anderen Laufzeitschutz verwenden“, sagt Arshan Dabirsiaghi, Mitbegründer und Chefwissenschaftler von Contrast Security. Ein RASP hinauf Anwendungsschicht ist vielleicht dieser robusteste.

WAFs sind hier nicht so effektiv, da die Eingaben in modernen Architekturen notfalls nicht von Hypertext Transfer Protocol stammen, dieser Exploit-Weg Out-of-Titel-Elemente enthält und dasjenige Versperren dieses Angriffs am Perimeter ebenfalls falsch positive Ergebnisse nach sich ziehen und den normalen Datenverkehr stören kann, Dabirsiaghi sagt.

In der Tat hat Cloudflare neue Signaturen für jedes seine Firewall veröffentlicht, um die bösartigen Aktivitäten hinauf Anwendungsschicht zu blockieren. Die Regel krampfhaft die jndi-Suche an gemeinsamen Speicherorten in einer Hypertext Transfer Protocol-Antragstellung. Andere Versorger von Web Application Firewalls werden voraussichtlich in Prägnanz hören.

Schritttempo 4: Updaten

In diesem Schritttempo heißt es nur: Patches anwenden und so schnell wie möglich updaten.