log4j log4shell Tipps und Handlungsanweisungen

Strukturierte Informationen und Tipps zum Umgang mit der log4j Schwachstelle (CVE-2021-44228)

The #Log4Shell vulnerability isn't just a RCE 0day. It's a vulnerability that causes hundreds and thousands of 0days in all kinds of software products. It's a 0day cluster bomb.

@cyb3rops (Florian Roth)

Die log4j Schwachstelle ist extrem kritisch, da die betroffene Java Bibliothek in zig kommerziellen Produkten, kostenfreier Software und Eigenentwicklungen steckt. Das Ausmaß dieser Schwachstelle kann noch gar nicht seriös beurteilt werden und wird sich erst in den kommenden Wochen zeigen.

 

Log4j Informationsquellen

Wir empfehlen das - kontinuierlich aktualisierte - Whitepaper des BSI zu nutzen:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html 

Dort werden aktuelle Erkenntnisse zusammengetragen und hilfreiche Tools verlinkt, beispielsweise

Gute Zusammenfassungen und Hintergründe liefern folgende Quellen:

Vorgehensweise zur Eindämmung

Grundsätzlich ist ein strukturierter Ansatz und eine gezielte Überprüfung aller potenziell betroffenen Anwendungen sehr wichtig. Wir empfehlen auf alle Fälle die folgenden Maßnahmen:

Prüfung ob eine Applikation betroffen ist

  • Verwenden Sie EDR-Tools (z. B. Microsoft Defender for Endpoint) oder Schwachstellen-Scanner, um verwundbare Applikationen zu erkennen.
  • Konzentrieren Sie sich zu Beginn vor Allem auf öffentlich zugängliche Systeme. Denken Sie aber bitte daran, dass manche System auch indirekt von außen zugänglich sind, beispielsweise ein Ticket-System über E-Mail.

Implementierung von Erste-Hilfe-Maßnahmen

  • Überprüfen Sie Ihre Firewall-Regeln für ausgehende Verbindungen: es sollten nur solche Systeme ausgehende Verbindungen herstellen dürfen, die dies unbedingt benötigen. Sorgen Sie für eine angemessene Protokollierung der Verbindungen.
  • Deaktivieren Sie als Workaround die verwundbare "Lookup-Funktion", wie im BSI-Whitepaper beschrieben.
  • Sollte aktuell keine Abhilfe möglich sein, sollten Sie eine vorübergehende Isolierung oder Abschaltung in Betracht ziehen.

 

Überprüfung einer möglichen Kompromittierung

  • Analysieren Sie Ihre Firewall-Protokolle auf ungewöhnliche ausgehende Verbindungen, insbesondere LDAP.
  • Überprüfen Sie den ausgehenden DNS-Verkehr auf verdächtige Domänen.
  • Analysieren Sie Reverse-Proxy- oder Anwendungsprotokolle auf mögliche log4shell-Versuche, beispielsweise mit dem Log4shell Detector. Aber beachten Sie: ein Alarm bedeutet nicht direkt, dass die Anwendung verwundbar oder kompromittiert ist. Es könnte sich auch um einen fehlgeschlagenen Versuch handeln.
  • Analysieren Sie verwundbare Systeme auf Anomalien in AntiVirus- oder EDR-Logs oder überprüfen Sie die Systeme auf Anzeichen eine Kompromittierung, beispielsweise mit dem Incident response Scanner Thor.

Viel Erfolg!