Log4Shell: Wie funktioniert es und welche Schritte sind zu unternehmen?

Forensic Readiness Assessment(nur auf Englisch verfügbar)

In den letzten Jahren wurden kritische Sicherheitslücken in Apache Log4j, genannt Log4Shell (offiziell bekannt als CVE-2021-44228), gefunden. Viele Webanwendungen und andere Systeme auf der ganzen Welt verwenden diese Software, die in kürzester Zeit großen Schaden anrichten kann. Die Sicherheitslücke hat bereits Auswirkungen auf Twitter, Amazon, Apple, Tesla und andere.

Was finden Sie auf dieser Log4j-Update-Seite?

• Schwachstellen in Log4j
• Was ist Log4j?
• Wie funktioniert Log4Shell?
• Zu unternehmende Schritte
• Live-Webinar - Log4j, neueste Erkenntnisse und wie Sie sicher bleiben?

UPDATE 3/1/2022

In den vergangenen zwei Wochen hat Bureau Veritas Cybersecurity zahlreiche Kunden dabei unterstützt, anfällige Instanzen von Log4j zu identifizieren oder forensische Analysen auf Servern durchzuführen, die (möglicherweise) gefährdet waren. In dieser Zeit wurden auch neue Schwachstellen in Log4j entdeckt und gehypt. Glücklicherweise scheint die aktuelle Situation so zu sein, dass eine aktive Ausnutzung nicht sehr häufig vorkommt. Wir sagen dies mit einem gewissen Vorbehalt, denn das Bedrohungsmodell für diese Sicherheitslücke unterscheidet sich so sehr von anderen Sicherheitslücken, dass es sehr plausibel ist, dass in Zukunft neue und innovative Angriffsvektoren entdeckt werden.

Für den Moment ist es wichtig, darauf hinzuweisen, dass Version 2.17.1 veröffentlicht wurde, um ein Sicherheitsproblem zu beheben, das sich nur als sehr begrenzt wirksam erwiesen hat. Daher ist es nicht akut notwendig, einen neuen Patch aufzuspielen. Wenn Sie 2.16.1 verwenden, sind Sie weiterhin gegen log4shell und alle bekannten Varianten geschützt. Bureau Veritas Cybersecurity wird die Situation weiterhin beobachten und bei Änderungen hier Updates bereitstellen.

Wenn Sie immer noch unsicher sind, was zu tun ist, oder einen Einblick in Ihre Sicherheit erhalten möchten, zögern Sie bitte nicht, uns zu kontaktieren.

Wie funktioniert Log4Shell?

Doch zunächst ist es wichtig, das Problem zu verstehen. Es funktioniert folgendermaßen: Wenn ein Angreifer einen bestimmten Angriffsstring über log4j protokollieren lassen kann, löst dieser String aus, dass log4j eine Verbindung zu einem vom Angreifer kontrollierten Host herstellt, einen vom Angreifer bereitgestellten Code herunterlädt und ausführt. Welche Dinge werden also protokolliert? Eine ganze Menge, wie sich herausstellt! Das kann ein Benutzername sein, ein E-Mail-Header, ein Website-Cookie, wirklich alles kann irgendwo auf dem Weg protokolliert werden. Und um die Sache noch komplizierter zu machen, werden manche Dinge erst zu einem späteren Zeitpunkt protokolliert, oder erst, nachdem eine bestimmte Anzahl von Ereignissen eingetreten ist. Einige Protokollierungsmechanismen protokollieren zum Beispiel einen fehlgeschlagenen Anmeldeversuch erst nach 10 oder mehr Versuchen. Es ist also schwierig, alle möglichen Injektionsvektoren zu testen, und es ist durchaus möglich, dass alle Ihre externen, dem Internet ausgesetzten Server nicht anfällig sind, ein interner Backend-Anwendungsserver jedoch schon. Der Punkt ist, dass ein Angreifer die Strings verteilen und hoffen kann, dass er irgendwann verwundbare Komponenten findet. Zum Zeitpunkt der Erstellung dieses Artikels gehören zu den angreifbaren Produkten viele Mainstream-Lösungen: Jira, Confluence, Splunk, Elastic, VMWare vCenter und viele, viele mehr. Einige davon sind sogar Sicherheitsprodukte!

Glücklicherweise verfolgt das niederländische NCSC bekannte gefährdete Software. Sie stellen auch IOCs und Abhilfemaßnahmen zur Verfügung. Anstatt diese hier zur Verfügung zu stellen, leiten wir alle auf ihr Repository weiter.

Zu ergreifende Schritte

1. Finden Sie heraus, wo Sie log4j oder ein anfälliges Produkt, das log4j verwendet, einsetzen. Prüfen Sie die Liste unter https://github.com/NCSC-NL/log4shell regelmäßig, denn sie wird ständig aktualisiert!
2. Patchen Sie Ihre Software oder wenden Sie eine der Abhilfemaßnahmen an, die unter dem Link zum NCSC GitHub Repository aufgeführt sind. Vergessen Sie nicht: Nicht nur Systeme, die mit dem Internet verbunden sind, können angegriffen werden.
3. Wenn Sie keine Patches oder Abhilfemaßnahmen anwenden können, stellen Sie sicher, dass ein anfälliger Server vorübergehend keine Internetverbindung herstellen kann.
4. Konfigurieren Sie Ihr IDS und SIEM so, dass es die IOCs blockiert und Erkennungsregeln implementiert. Auch hierzu verweisen wir auf https://github.com/NCSC-NL/log4shell (und halten Sie es auf dem neuesten Stand, denn es gibt auch viele Möglichkeiten, die Erkennungsregeln zu umgehen).
5. Wenn Sie Hinweise darauf haben, dass ein Server kompromittiert wurde, ergreifen Sie die üblichen Maßnahmen zur Reaktion auf einen Vorfall und zur forensischen Untersuchung: isolieren, eindämmen und untersuchen.

Asset-Verwaltung

Es liegt auf der Hand, dass die meisten Unternehmen derzeit gefährdet sind, da die Ausnutzung so einfach und die Schwachstelle so weit verbreitet ist. Es ist äußerst wichtig zu wissen, was Sie besitzen (Asset Management) und welche Softwarekomponenten Sie verwenden (SBOM, siehe https://www.ncsc.nl/onderzoek/onderzoeksresultaten/software-bill-of-materials-sbom-en-cyber-security-map).

OT-Systeme

Wir gehen außerdem davon aus, dass nicht nur IT-Systeme, sondern auch OT-Systeme von dieser Sicherheitslücke betroffen sind. Da die Anwendungen in OT-Umgebungen oft eingebettet sind, wird es vermutlich viel länger dauern, bis wir wissen, welche OT-Produkte besonders anfällig sind. Es ist jedoch sehr plausibel, dass sich OT-Datenhistoriker und Logger als anfällig erweisen werden.

Weitere Aktualisierungen

Wir werden diese Seite aktualisieren, sobald neue Entwicklungen oder Informationen bekannt werden. Unsere Kunden wenden sich bitte an ihren Kundenbetreuer, wenn sie Fragen zu dieser Sicherheitslücke haben.