log4j – übersicht

 Kritische Schwachstelle in Log4j bekannt (CVE-2021-44228)

Aufgrund der steigenden Anzahl an Nachfragen bzgl. des erschienenen Zero Day-Exploits „Log4j“ (CVE-2021-44228) möchten wir Ihnen kurz einen Überblick verschaffen sowie einige Handlungsempfehlungen mitgeben.

Die Schwachstelle befindet sich in einer Javabibliothek, welche zum Logging in Serverbereichen genutzt wird. Vor kurzem wurde die Verwundbarkeit der Anwendung bekannt. Durch geringen technischen Aufwand kann diese Schwachstelle zu einer bedrohlichen Remote Code Execution führen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das Risiko durch die Sicherheitslücke auf der sogenannten CVSS-Skala mit dem höchstmöglichen Wert von 10 ein.

Von dieser Schwachstelle sind unzählige Systeme betroffen. Damit Sie einem Ausnutzen der Schwachstelle vorbeugen können, sollten sie ihre Logfiles nach Zugriffen durchsuchen, welche auf Versuche des Ausnutzens dieser Schwachstelle hindeuten. Derzeit werden hierfür Filtermöglichkeiten öffentlich auf Github ausgetauscht. Weiterhin können IP-Adressen, die diese Art von Angriffen durchführen, geblacklistet werden.

 

Aktueller Stand: 22. Dezember 2021

 

hilfe zur selbsthilfe – nützliche links

Die nachfolgenden Links zu Internetpräsenzen Dritter halten wir für besonders relevant. Eine Haftung für die Inhalte dieser Internetpräsenzen kann nicht übernommen werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 11.12.2021 eine Cyber-Sicherheitswarnung mit der höchsten Warnstufe (Warnstufe 4 = Rot) publiziert und somit ihre eigene Warnung vom Vortag nochmals hochgestuft.

Nach Veröffentlichung im Internet einer kritischen Schwachstelle in der Spezifikation der weit verbreiteten Java-Protokollierungsbibliothek Log4j, ist nach Einschätzung des BSI aktuell eine extrem kritische IT-Bedrohungslage entstanden. Es droht der Ausfall vieler Dienste, ein Regelbetrieb kann dann ggf. nicht mehr aufrechterhalten werden.

Zum Sachverhalt schreibt das BSI, dass die Schwachstelle sehr einfach ausgenutzt werden kann, sowohl hinsichtlich Datenklau als auch einer Einbringung von Schadsoftware.

Bei diesem Projekt handelt es sich um einen automatischen Scanner, dessen Funktionailität wir sporadisch überprüfen konnten.

Der wesentliche Vorteil besteht in den Automatismen des Tools, sodass größtenteils vollautomatisiert mehrere  URLs überprüft werden können.

Ein lokaler Scanner, der anfällige Log4J-Versionen aufspürt, um bei der Bewertung ihrer Gefährdung durch CVE-2021-44228, CVE-2021-45046 und CVE-2021-45105 zu unterstützen. Er kann nach Log4J-Instanzen suchen, indem das gesamte Dateisystem einschließlich aller installierten Anwendungen untersucht wird.

Payload die manuell extern in jedes Form-Feld eingefügt werden kann und auf der Website Feedback über Impact gibt.

Die Entwickler sind natürlich am besten über ihre Schwachstelle und neuigkeiten informiert und aktualisieren hier alles zusammengefasst

unsere einschätzung – häufig gestellte fragen

Als unabhängiges Beratungshaus mit Spezialisiserung in der Durchführung von Penetrationtests betreuen wir eine Vielzahl an Konzern- und Mittelstandskunden zum Themenfeld „Log4j“ (darunter zwei KRITIS-Unternehmen). Die nachfolgenden Fragen sind uns während unserer Projekttätigkeit besonders häufig begegnet:

Welche Gefahr geht von dieser Schwachstelle aus?

Aufgrund der hohen Risikobewertung dieser Schwachstelle und damit verbundenen Bekanntheit ist davon auszugehen, dass eine besonders hohe Eintrittswahrscheinlichkeit vorliegt. Alle Schutzziele der IT könnten korrumpiert werden.

Aktuell herrscht eine sehr rege Community, welche sowohl Angriffswerkzeuge als auch Gegenmaßnahmen entwickeln.

Ist davon auszugehen, dass die Angreifer Crypto-Mining auf unseren Systemen betreiben?

Nein.  Die meisten Unternehmen betreiben mehrstufige It-sicherheitslösungen. Insb. der Einsatz von IDS-Systemen und Monitoring sorgen dafür, dass eine stark Auslast sofort erkannt wird. Die zunehmende Gefahr besteht für Unternehmen beim Platzieren von Schadcode oder das Abgreifen sensibler Informationen durch potenzielle Angreifer. Außerdem ist in einigen BlackHat-Foren die Rede von Erpressungsversuchen bspw. durch Einschleusen von Verschlüsselungstrojanern oder das Verändern von informationstechnischen Prozessen wie bspw. unbemerkte Veränderung der Datenintegrität über einen langen Zeitraum, um am Ende eine Erpressung vonehmen zu können.

Was sollten wir als  Unternehmen tun? 

Insbesondere gilt es die Betroffenheit zu prüfen. Nehmen Sie aktiv Kontakt mit Ihrem IT-Dienstleister auf und suchen Sie den offenen diskurs. 

IT-Sicherheitsabteilungen in Unternehmen wird empfohlen an jede IP-Adresse einen Payload (siehe Linksammlung oben) zu senden, welcher versucht die Log4j Schwachstelle auszunutzen und statt Schadcode einen simplen Request an einen Server sendet. Somit erhält man Kenntnis  darüber, ob eine Exploitation möglich wäre. Hierbei wird empfohlen alle gängigen request-Anfragen zu verwenden und ggfs. eine Auswahl an Standard WAF-bypasses mitzusenden

Des Weiteren sollten sämtliche Formulare auf Webapplikationen auf Injection-Möglichkeiten überprüft werden. Komplexere Webapplikationen sollten manuell von einem Penetrationtester überprüft werden.

Unsere Leistungen

Sollten Sie einen Test auf diese Schwachstelle durch einen externen Dienstleister bevorzugen, so haben wir hierfür ein Team bereitgestellt, welches Ihnen kurzfristig nachfolgende Leistungen anbieten kann.

Wir stehen Ihnen unter 040 285 301 250 von Mo-Fr zwischen 07:30 und 19 Uhr (auch an Feiertagen) zur Verfügung. Die Bearbeitungszeit kann aufgrund der starken Nachfrage variieren.

 

Schwachstellenscan

Test Ihrer Systeme von außen mit allen Request Methoden (GET,POST(url-encoded-form), POST(JSON body)). Es erfolgt hierbei auch der Versuch Ihre Web Application Firewall zu umgehen, falls vorhanden.

manuelle überprüfung

Manuelles Testen ihrer internen Tools und Systeme auf diese Schwachstelle. Hierbei wird versucht ein echtes Ausnutzen der Schwachstelle durchzuführen, allerdings ohne Mitsenden von Schadcode.

Bekannt aus

Partner

KALWEIT ITS steht für die exzellente Verknüpfung von Cyber­security und Strategie. Als Beratungsmanufaktur für IT-Sicherheit helfen wir unseren Kunden dabei, IT-Risiken und damit verbundene Kosten zu senken: Durch effektive IT-Sicherheit. In interdisziplinären Teams challengen wir durch holistische Sicherheitsüberprüfungen den Status-Quo unserer Kunden und schaffen Sicherheiten im Rahmen der Unternehmensberatung dort, wo auch wirkliche IT-Risiken sind. Eben so, dass sie auch von der Unternehmenskultur angenommen werden.
Neue Perspetiven, mutige Ideen, pragmatisch umgesetzt.