Cyber Security

log4j log4shell Tipps und Handlungsanweisungen

Strukturierte Informationen und Tipps zum Umgang mit der log4j Schwachstelle (CVE-2021-44228)

Michael Hochenrieder · 01.07.2021
Bild mit verschiedenen Screens, als Darstellung für Monitoring

The #Log4Shell vulnerability isn't just a RCE 0day. It's a vulnerability that causes hundreds and thousands of 0days in all kinds of software products. It's a 0day cluster bomb. @cyb3rops (Florian Roth)

 

Die log4j Schwachstelle ist extrem kritisch, da die betroffene Java Bibliothek in zig kommerziellen Produkten, kostenfreier Software und Eigenentwicklungen steckt. Das Ausmaß dieser Schwachstelle kann noch gar nicht seriös beurteilt werden und wird sich erst in den kommenden Wochen zeigen.

 

Log4j Informationsquellen

Wir empfehlen das - kontinuierlich aktualisierte - Whitepaper des BSI zu nutzen:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html

Dort werden aktuelle Erkenntnisse zusammengetragen und hilfreiche Tools verlinkt, beispielsweise

 

Gute Zusammenfassungen und Hintergründe liefern folgende Quellen:


Vorgehensweise zur Eindämmung

Grundsätzlich ist ein strukturierter Ansatz und eine gezielte Überprüfung aller potenziell betroffenen Anwendungen sehr wichtig. Wir empfehlen auf alle Fälle die folgenden Maßnahmen:

Prüfung ob eine Applikation betroffen ist

  • Prüfen Sie, ob einer Ihrer Softwarehersteller bereits bekannt ist bzw. reagiert hat, beispielsweise über  log4shell/README.md at main · NCSC-NL/log4shell · GitHub
  • Prüfen Sie, ob eigenentwickelte Java-basierte Applikationen oder Nischenprodukte eine verwundbare Version von log4j einsetzen, beispielsweise mit Hilfe des Simple local log4j vulnerability scanner. Aber bedenken Sie: die reine Verwundbarkeit bedeutet noch nicht, dass die Schwachstelle auch bereits ausgenutzt wurde.
  • Verwenden Sie EDR-Tools (z. B. Microsoft Defender for Endpoint) oder Schwachstellen-Scanner, um verwundbare Applikationen zu erkennen.

  • Konzentrieren Sie sich zu Beginn vor Allem auf öffentlich zugängliche Systeme. Denken Sie aber bitte daran, dass manche System auch indirekt von außen zugänglich sind, beispielsweise ein Ticket-System über E-Mail.

     

Check if log4j is uti... Isolate system Yes No Check if mitigation i... Implement workaround End Workaround Patch No Is a vendors advisory... Yes Check for proof of ex... No Yes Is it self developed... Apply patch Yes Check if it is vulner... Fix vulnerabilities Patch Implement workaround Yes Check for compromise Incident Response Perform general mitig... Reactive Proacti... Yes No © HvS-Consulting AG Viewer does not support full SVG 1.1

 

Implementierung von Erste-Hilfe-Maßnahmen

  • Überprüfen Sie Ihre Firewall-Regeln für ausgehende Verbindungen: es sollten nur solche Systeme ausgehende Verbindungen herstellen dürfen, die dies unbedingt benötigen. Sorgen Sie für eine angemessene Protokollierung der Verbindungen.
  • Deaktivieren Sie als Workaround die verwundbare "Lookup-Funktion", wie im BSI-Whitepaper beschrieben.
  • Sollte aktuell keine Abhilfe möglich sein, sollten Sie eine vorübergehende Isolierung oder Abschaltung in Betracht ziehen.
     

Überprüfung einer möglichen Kompromittierung

  • Analysieren Sie Ihre Firewall-Protokolle auf ungewöhnliche ausgehende Verbindungen, insbesondere LDAP.
  • Überprüfen Sie den ausgehenden DNS-Verkehr auf verdächtige Domänen.
  • Analysieren Sie Reverse-Proxy- oder Anwendungsprotokolle auf mögliche log4shell-Versuche, beispielsweise mit dem Log4shell Detector. Aber beachten Sie: ein Alarm bedeutet nicht direkt, dass die Anwendung verwundbar oder kompromittiert ist. Es könnte sich auch um einen fehlgeschlagenen Versuch handeln.
  • Analysieren Sie verwundbare Systeme auf Anomalien in AntiVirus- oder EDR-Logs oder überprüfen Sie die Systeme auf Anzeichen eine Kompromittierung, beispielsweise mit dem Incident response Scanner Thor.
     

Viel Erfolg!