Zweifellos haben die meisten unter uns schon von der neusten Sicherheitslücke (CVE-2021-44228) in der log4j-Bibliothek, ein sehr beliebtes Logging-Paket für Java, gehört. Das Paket ist flexibel und leistungsfähig und es wird in fast jeder Java-Anwendung eingesetzt. Am 09.12.2021 wurde ein Proof of Concept veröffentlicht. Erste Angriffe wurden schon Anfang Dezember beobachtet. Was Sie darüber wissen sollten, wie sie Angriffe erkennen können und wie darauf zu reagieren ist, erfahren Sie hier.
Der Inhalt im Überblick
Beschreibung der Schwachstelle in log4j
Die Schwachstelle ermöglicht die Remote Code Execution, das bedeutet ein Angreifer kann aus der Ferne einen Code ausführen und so im schlimmsten Fall das System übernehmen und sich weiterverbreiten. Nicht nur die Ausführung von Schadsoftware, sondern auch die Exfiltration von sensiblen Daten ist möglich. Betroffen sind die Versionen 2.0-beta9 bis einschließlich 2.14.1, die Version 2.15 wurde gepatcht.
Was Sie tun können
Aktualisieren Sie die Bibliothek über die Softwareverwaltung von Betriebssystemen. Dies allein reicht jedoch nicht aus, da Hersteller die Bibliothek häufig in ihre Software direkt integrieren. Daher liegt die Verantwortung in den Fällen bei den Herstellern und alle angebotenen Updates sollten daher direkt eingespielt werden. Patchen Sie alles was geht!
- Deaktivieren Sie Fernabfragen (Remote Lookups).
- Erstellen Sie Firewall-Regeln, die Remote-Aufrufe zu ungeprüften Servern verhindern.
- Isolieren Sie Ihre Anwendungsserver durch den Einsatz von Firewalls.
- Minimieren Sie die Angriffsfläche durch den Einsatz von am wenigsten privilegierten Konten für die Ausführung von Anwendungen.
- Überwachen Sie alle System- und Netzwerkaktivitäten auf ungewöhnliches Verhalten.
- Setzen Sie auf eine aktive Verteidigung durch den Einsatz von Honeypots zum Aufspüren von Post-Exploitation-Reconnaissance und den Einsatz von Honeydata in der Nähe von mutmaßlich anfälligen Anwendungen.
Indikatoren eines Angriffs in Kürze
Indikatoren für einen Angriff könnten sein, dass eine hohe CPU-Auslastung auf Systemebene vorliegt, ebenfalls könnten unerwartete oder auch ungewollte Konfigurationsänderungen vorgenommen worden sein. Unterschiedlichste Logs sowie Befehle sind sichtbar und weisen auf unbefugten Zugriff auf die Systeme hin. Auf Netzwerkebene lässt sich möglicherweise ein Angriff dadurch erkennen, dass unerwartete Verbindungen aufgebaut werden oder bereits aktiv sind. Dies kann durch eine unwahrscheinlich hohe Netzwerklast auffällig sein. Besonders Langzeitverbindungen weisen darauf hin, dass Angreifer Zugriff auf ihre Systeme haben. Dies sind jedoch nur einige Aspekte, die einen Hinweis darauf geben, dass Sie von dieser Schwachstelle betroffen sind.
Eine andere Möglichkeit solche Überprüfungen durchzuführen, wäre zum Beispiel die Nutzung von RITA. Dadurch lassen sich anhand eines Regelwerkes Netzwerkanalysen in Bezug auf mögliche Beacon-Kommunikation in oder aus dem Netzwerk heraus erfassen. Dies sind jedoch nur einige der möglichen Wege, wie Sie feststellen können, ob sie betroffen sind.
Eine weitere Alternative ist im ersten Schritt die Erfassung, ob Sie überhaupt von der Schwachstelle betroffen sind, dies können Sie ganz einfach mit der nachfolgenden Liste gegenprüfen. Hier werden viele Applikationen erfasst und dementsprechend auf ihre Betroffenheit gepflegt.
Eine weitere Option zur Prüfung gegen diese Schwachstelle ist, sofern Ihnen die Möglichkeit einer Log-File-Überprüfung vorliegt, Ihre Logs mit bereits aufgetretenen Anfragen abzugleichen. Das SANS-Institut hat diese bereits gesammelt und auf ihr Vorkommen hin überprüft. Diese finden Sie im folgenden Link.
Das BSI empfiehlt zudem eine Überprüfung Ihrer Verwundbarkeit mit den folgenden Skripten. Diese werden in der Umgebung des Unternehmens getestet und sollte Ihnen einen Überblick darüber geben, ob sie möglicherweise von der Schwachstelle betroffen sind.
Unter dem nachfolgenden Link finden Sie die aktuellen Meldungen des BSI. Diese Seite wird auch in den folgenden Tagen zunehmend aktualisiert und sollte Ihnen regelmäßig einen aktuellen Stand bieten.
Ebenfalls bietet Microsoft Informationen zu der aktuellen Schwachstelle und wie Sie mit dieser umgehen sollten. Die von Microsoft zur Verfügung gestellten Informationen finden Sie unter nachstehendem Link.
Für all diejenigen, die bereits ein Update durchgeführt haben und somit die Lücke vermeintlich geschlossen haben.
Wichtig ist es, auf die Version zu achten, denn auch wenn durch die Version 2.15.0 die Lücke geschlossen werden sollte, so wurde mit 2.15.0 eine andere Schwachstelle offengelegt. Wer also ganz sichergehen möchte, sollte bereits auf Version 2.16.0 upgraden. Auch das SANS Institut weist bereits auf die neue Schwachstelle hin.
Was Sie tun sollten, wenn Sie bereits betroffen sind
Falls Sie die Vermutung haben oder sicher sind, dass Sie bereits von dieser Schwachstelle und späteren Auswirkungen betroffen sind, sollten Sie dringend professionelle Hilfe zu Rate ziehen. Unser Expertenteam in IT-Forensik und IT-Sicherheit steht Ihnen dafür schnell beratend zur Seite.