{"id":260536,"date":"2021-12-14T18:29:16","date_gmt":"2021-12-14T17:29:16","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260536"},"modified":"2024-06-24T20:28:56","modified_gmt":"2024-06-24T18:28:56","slug":"log4j-faq-und-repository","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/14\/log4j-faq-und-repository\/","title":{"rendered":"log4j FAQ und Repository"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/12\/14\/log4j-faq-and-repository\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Seit dem Wochenende h\u00e4lt ja eine in der JAVA-Bibliothek log4j enthaltene Schwachstelle CVE-2021-44228 die IT-Szene in Atem. Die log4j-Bibliothek ist extrem verbreitet und wird in vielen Produkten verwendet. Zudem ist die Schwachstelle extrem einfach remote ausnutzbar und seit ca. 2 Wochen werden auch Angriffe beobachtet. Im Blog-Beitrag versuche ich in einer Art FAQ bzw. als Repository die wichtigsten Fragen\/Antworten aufzugreifen und weiterf\u00fchrende Seiten zu verlinken.<\/p>\n<p><!--more--><\/p>\n<h2>Die log4j Schwachstelle CVE-2021-44228<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/a2e07070b92f46a88e6877ef7dc617d8\" alt=\"\" width=\"1\" height=\"1\" \/>Es gibt eine kritische Schwachstelle in der JNDI-Lookup-Funktion in der zum Logging benutzen Java Bibliothek log4j, \u00fcber die Angreifer remote Code injizieren und ausf\u00fchren lassen k\u00f6nnen. Log4j ist eine beliebte Protokollierungsbibliothek f\u00fcr Java-Anwendungen, die in vielen Produkten verwendet wird. Gelingt es einem Angreifer eine URL auf einen von ihm kontrollierten Server in der von log4j verwalteten Protokolldatei anzugeben, kann er einen Server \u00fcber das Logging kapern (Log4Shell).<\/p>\n<p>Seit ein <a href=\"https:\/\/web.archive.org\/web\/20211219230326\/https:\/\/github.com\/0x0021h\/apache-log4j-rce\/blob\/main\/poc\/src\/main\/java\/log4j.java\" target=\"_blank\" rel=\"noopener\">Proof of Concept<\/a> (PoC) f\u00fcr die Remote Code Execution-Schwachstelle in log4j am 9. Dezember 2021 ver\u00f6ffentlicht wurde, steht die IT-Welt Kopf. Die US CISA warnt (<a href=\"https:\/\/www.cyberscoop.com\/log4j-cisa-easterly-most-serious\/\" target=\"_blank\" rel=\"noopener\">siehe<\/a>), dass dies die gr\u00f6\u00dfte Sicherheitsl\u00fccke des Jahres sei und hunderte Millionen an Ger\u00e4ten und Programmen bedroht.<\/p>\n<p>Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat f\u00fcr die kritische Schwachstelle (CVE-2021-44228) in log4j ver\u00f6ffentlicht die <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Cybersicherheitswarnungen\/DE\/2021\/2021-549032-10F2.pdf?__blob=publicationFile&amp;v=6\" target=\"_blank\" rel=\"noopener\">Warnstufe in dieser Sicherheitswarnung<\/a> auf Rot erh\u00f6ht (CSW-Nr. 2021-549032-1332, Version 1.3, 12.12.2021). Der Schwachstelle wurde nach Ver\u00f6ffentlichung des Blog-Posts ein CVSS-Wert von 10.0 (Maximum) zugewiesen. Im Gegensatz zur urspr\u00fcnglichen Einsch\u00e4tzung kann die kritische Schwachstelle ggf. auch auf internen Systemen ausgenutzt werden, sofern diese externe Daten entgegennehmen oder verarbeiten.<\/p>\n<h2>Angriffe auf CVE-2021-44228 laufen<\/h2>\n<p>Es gibt bereits Meldungen, dass das Internet breitfl\u00e4chig nach verwundbaren Systemen gescannt wird. The Record-Media berichtet im Artikel <a href=\"https:\/\/therecord.media\/log4shell-attacks-began-two-weeks-ago-cisco-and-cloudflare-say\/\" target=\"_blank\" rel=\"noopener\">Log4Shell attacks began two weeks ago, Cisco and Cloudflare say<\/a>, dass bereits ab dem 1. Dezember 2021 Angriffe auf die Schwachstelle beobachtet wurden. Und die Sicherheitsforscher von Check Point haben in <a href=\"https:\/\/web.archive.org\/web\/20230307020522\/https:\/\/blog.checkpoint.com\/2021\/12\/13\/the-numbers-behind-a-cyber-pandemic-detailed-dive\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> die nachfolgende Grafik mit den sprunghaft steigenden Angriffszahlen publiziert.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/sMgLwcY.png\" alt=\"Angriffe auf Schwachstelle CVE-2021-44228\" \/>(Source: Check Point)<\/p>\n<p>Die Kollegen von Bleeping Computer berichten in <a href=\"https:\/\/web.archive.org\/web\/20230119224904\/https:\/\/www.bleepingcomputer.com\/news\/security\/hackers-start-pushing-malware-in-worldwide-log4shell-attacks\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> ebenfalls, dass Angreifer beginnen, nach erfolgreichen Log4Shell-Angriffen Malware auf die Systeme zu installieren. Von den Bitdefender Labs liegen mir folgende erg\u00e4nzende Informationen vor:<\/p>\n<ul>\n<li>Die Cyberkriminellen versuchen eine neue Ransomware-Familie, Khonsari, einzubetten. Sie attackieren jetzt auch Microsoft-Windows-Systeme, nachdem zun\u00e4chst Linux-Server im Visier der Hacker waren.<\/li>\n<li>Die Angreifer versuchen auch \u00fcber die Schwachstelle den Remote Access Trojaner (RAT) Orcus zu implementieren. Sie versuchen Shellcode von hxxp:\/\/test.verble.rocks\/dorflersaladreviews.bin.encrypted herunterzuladen und im Speicher des conhost.exe-Prozesses zu injizieren. Dieser Shellcode entschl\u00fcsselt und l\u00e4dt andere b\u00f6sartige Payload in den Speicher nach, der Orcus an die Command-and-Control-Server anbindet.<\/li>\n<li>Mit Reverse Bash Shells versuchen Cyberkriminelle, einen Zugriff in Systeme f\u00fcr sp\u00e4tere Folgeaktionen zu erhalten. Das ist relativ einfach. In der Folge sind mit hoher Wahrscheinlichkeit umfassendere Angriffe zu erwarten.<\/li>\n<\/ul>\n<p>Die Bitdefender-Experten beobachten bereits zahlreiche Botnetze, die die Schwachstelle ausnutzen, um Backdoors in neuen Opfernetzen zu installieren und ihre Netzwerke zu erweitern. Ein erstes Beispiel daf\u00fcr ist Muhstik. Botnetze leben von ihrer Gr\u00f6\u00dfe. Das Wachstum dieser Netze ist ein guter Indikator f\u00fcr die Gefahr von Schwachstellen. Bitdefender hat eine Zusammenfassung der bisherigen Erkenntnisse im Advisory <a href=\"https:\/\/web.archive.org\/web\/20230320183740\/https:\/\/businessinsights.bitdefender.com\/technical-advisory-zero-day-critical-vulnerability-in-log4j2-exploited-in-the-wild\" target=\"_blank\" rel=\"noopener\">By Martin Zugec \/ Dec 13, 2021<\/a> ver\u00f6ffentlicht.<\/p>\n<h2>Sind meine Systeme anf\u00e4llig<\/h2>\n<p>Der Ratschlag der Sicherheitsexperten an Administratoren lautet, sich einen \u00dcberblick zu verschaffen, welche Systeme die log4j-Bibliothek verwenden bzw. \u00fcber die Schwachstelle angreifbar sind.<\/p>\n<ul>\n<li>Die erste Einsch\u00e4tzung, dass \u00e4ltere JAVA-Versionen nicht angreifbar seien, hat sich leider als falsch erwiesen.<\/li>\n<li>Andere Implementierung der log4j-Bibliothek wie log4net, log4perl, log4php etc. scheinen nach <a href=\"https:\/\/security.stackexchange.com\/questions\/257873\/does-cve-2021-44228-impact-log4j-ports\" target=\"_blank\" rel=\"noopener\">dieser Diskussion<\/a> \u00fcber die Schwachstelle CVE-2021-44228 nicht angreifbar zu sein.<\/li>\n<\/ul>\n<p>In einer direkten Mitteilung, die mir zugegangen ist, spricht Sicherheitsanbieter Tenable vom \"Fukushima der IT\" und schreibt, dass man jede Minute neue Anwendungen entdeckt, die Log4j auf die eine oder andere Weise nutzen. Das betrifft nicht nur den Code, den Unternehmen erstellen, sondern auch die Systeme von Drittanbietern, die sie im Einsatz haben. Alles, vom neuen Drucker, den sie f\u00fcr ihr B\u00fcro gekauft haben, bis hin zum Ticketing-System, das sie gerade eingerichtet haben, ist potenziell von dieser Schwachstelle betroffen. Einige der betroffenen Systeme befinden sich vielleicht lokal vor Ort, andere werden in der Cloud gehostet. Egal, wo sich die Systeme befinden, die Schwachstelle wird wahrscheinlich Auswirkungen haben.<\/p>\n<p>Laut Tenable beobachtet man Kunden, die 1.000 Systeme pro Sekunde \u00fcberpr\u00fcfen und ein betroffenes System pro Sekunde identifizieren. Um Systeme online auf eine Verwundbarkeit bez\u00fcglich der Schwachstelle CVE-2021-44228 zu testen, hat Trend Micro einen Online-Scanner (Englisch)bereitgestellt.<\/p>\n<p><a href=\"https:\/\/twitter.com\/TrendMicroDE\/status\/1470679961128382467\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"log4j (CVE-2021-44228) Online-Scanner\" src=\"https:\/\/i.imgur.com\/TCWGXsf.png\" alt=\"log4j (CVE-2021-44228) Online-Scanner\" \/><\/a><\/p>\n<p>Es reicht, im Formularfeld die URL der zu pr\u00fcfenden Webseite einzugeben und ggf. Optionen zu spezifizieren, um einen Check auszuf\u00fchren. Mein Problem: Ich habe einige URLs probiert, aber keine R\u00fcckmeldung bekommen, dass die angreifbar sind.<\/p>\n<ul>\n<li>Ein auf Python basierender Scanner f\u00fcr die Schwachstelle CVE-2021-44228 ist in <a href=\"https:\/\/web.archive.org\/web\/20211213173016\/https:\/\/pythonawesome.com\/a-fully-automated-accurate-and-extensive-scanner-for-finding-log4j-rce-cve-2021-44228\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> sowie <a href=\"https:\/\/fullhunt.io\/blog\/2021\/12\/13\/detecting-log4j-rce-at-scale.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> erw\u00e4hnt.<\/li>\n<li>Detectify bietet <a href=\"https:\/\/blog.detectify.com\/2021\/12\/12\/important-information-detectify-scans-for-actively-exploited-critical-apache-log4j-vulnerability-cve-2021-44228\/\" target=\"_blank\" rel=\"noopener\">hier einen Test<\/a> auf die Schwachstelle an, wobei man sich aber anmelden muss.<\/li>\n<\/ul>\n<p>LunaSec hat in <a href=\"https:\/\/web.archive.org\/web\/20240311122046\/https:\/\/www.lunasec.io\/docs\/blog\/log4j-zero-day-mitigation-guide\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> einen log4Shell-Scanner f\u00fcr diverse Plattformen (Linux, Windows, macOS) sowie diverse Abhilfema\u00dfnahmen gegen die Schwachstelle beschrieben. Der Scanner kann heruntergeladen und dann lokal auf einem der betreffenden Systeme ausgef\u00fchrt werden.<\/p>\n<blockquote><p>Die US-Sicherheitsbeh\u00f6rde CISA hat den US-Beh\u00f6rden laut <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/cisa-orders-federal-agencies-to-patch-log4shell-by-december-24th\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> bis zum 24. Dezember 2021 Zeit gegeben, die log4j-Schwachstellen in ihren Systemen gegen Log4Shell zu sch\u00fctzen.<\/p><\/blockquote>\n<h2>Liste betroffener\/nicht betroffener Produkte<\/h2>\n<p>Auf Github findet sich auf <a href=\"https:\/\/github.com\/NCSC-NL\/log4shell\/tree\/main\/software\" target=\"_blank\" rel=\"noopener\">dieser Seite<\/a> des <a href=\"https:\/\/github.com\/NCSC-NL\" target=\"_blank\" rel=\"noopener\">NCSC-NL<\/a> (Nationaal Cyber Security Centrum der Niederlande) eine (nicht vollst\u00e4ndige) Liste betroffener oder nicht betroffener Produkte, die st\u00e4ndig aktualisiert wird. Hier k\u00f6nnten Administratoren auf die Schnelle nachsehen, ob eine vielleicht eingesetzte Software-L\u00f6sung als angreifbar aufgelistet wird und beim Hersteller Patches anfordern.<\/p>\n<p>Ich hatte zudem im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/10\/0-day-in-java-log4j-bibliothek-tangiert-zahlreiche-anbieter\/\">0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter<\/a> bereits erw\u00e4hnt. Auf <a href=\"https:\/\/github.com\/YfryTchsGD\/Log4jAttackSurface\" target=\"_blank\" rel=\"noopener\">dieser GitHub-Seite<\/a> werden betroffene Dienste aufgelistet \u2013 da ist alles dabei, was Rang und Namen hat. Zu Minecraft und VMware hatte ich separate Artikel hier im Blog ver\u00f6ffentlicht (siehe Linkliste am Artikelende). Erg\u00e4nzung: Ich habe gelesen (<a href=\"https:\/\/www.aerzteblatt.de\/nachrichten\/130006\/BSI-warnt-vor-Sicherheitsluecke-Auch-Auswirkungen-auf-Dienste-der-Telematikinfrastruktur\" target=\"_blank\" rel=\"noopener\">Quelle<\/a>, <a href=\"https:\/\/www.pharmazeutische-zeitung.de\/sicherheitsluecke-legt-teile-der-telematik-infrastruktur-lahm-130194\/\" target=\"_blank\" rel=\"noopener\">Quelle<\/a>, dass vor allem die im Medizinbereich einzuf\u00fchrende Telematik-Infrastruktur heftig betroffen sein soll und teilweise abgeschaltet wurde.<\/p>\n<p>Die Kollegen von Bleeping Computer haben in <a href=\"https:\/\/web.archive.org\/web\/20220626033520\/https:\/\/www.bleepingcomputer.com\/news\/security\/log4j-list-of-vulnerable-products-and-vendor-advisories\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> ebenfalls eine kurze Zusammenstellung von betroffenden Produkten und ggf. Gegenma\u00dfnahmen ver\u00f6ffentlicht.<\/p>\n<p>Mich hat noch interessiert, ob mein Blog, der mit WordPress l\u00e4uft, aber mit einem Webpaket bei Hosteurope gehostet wird, \u00fcber die Schwachstelle CVE-2021-44228 angreifbar ist. Ich habe dann beim Support nachgefragt, und wurde auf diese FAQ verwiesen. Nach diesem Dokument ist mein Paket und die verwendete Software nicht betroffen.<\/p>\n<p>Details zur Schwachstelle und zum Patchen werden von Trend Micro <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/21\/l\/patch-now-apache-log4j-vulnerability-called-log4shell-being-acti.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> bereitgestellt. Anlaufstellen f\u00fcr weitere Informationen k\u00f6nnten auch folgende Webseiten sein.<\/p>\n<ul>\n<li><a href=\"https:\/\/www.govcert.ch\/blog\/zero-day-exploit-targeting-popular-java-library-log4j\/\" target=\"_blank\" rel=\"noopener\">Diese Webseite des GOV-CERT Schweiz<\/a><\/li>\n<li><a href=\"https:\/\/www.huntress.com\/blog\/rapid-response-critical-rce-vulnerability-is-affecting-java\" target=\"_blank\" rel=\"noopener\">Der Blog-Beitrag von Huntress<\/a><\/li>\n<li><a href=\"https:\/\/www.heise.de\/ratgeber\/Schutz-vor-schwerwiegender-Log4j-Luecke-was-jetzt-hilft-und-was-nicht-6292961.html\" target=\"_blank\" rel=\"noopener\">Schutz vor schwerwiegender Log4j-L\u00fccke &#8211; was jetzt hilft und was nicht<\/a> (heise-Beitrag)<\/li>\n<li><a href=\"https:\/\/www.heise.de\/news\/Log4j-2-16-0-verbessert-Schutz-vor-Log4Shell-Luecke-6294053.html\" target=\"_blank\" rel=\"noopener\">Log4j 2.16.0 verbessert Schutz vor Log4Shell-L\u00fccke<\/a><\/li>\n<li><a title=\"https:\/\/u-labs.de\/portal\/schwere-sicherheitsluecke-log4bash-in-log4j-erklaert-zahlreiche-java-anwendungen-betroffen-u-a-minecraft-apple-twitter-tesla-steam-amazon-und-mehr\/?fbclid=IwAR2Dh-67wJWQoG8Xh-M5O1VZ_vwjWrY8g2SywVzO8DjU2wakIHnSNQT6_iY\" href=\"https:\/\/u-labs.de\/portal\/schwere-sicherheitsluecke-log4bash-in-log4j-erklaert-zahlreiche-java-anwendungen-betroffen-u-a-minecraft-apple-twitter-tesla-steam-amazon-und-mehr\/?fbclid=IwAR2Dh-67wJWQoG8Xh-M5O1VZ_vwjWrY8g2SywVzO8DjU2wakIHnSNQT6_iY\" target=\"_blank\" rel=\"noopener\">Schwere Sicherheitsl\u00fccke \u201eLog4Bash\" in Log4j erkl\u00e4rt<\/a> Ulabs-Beitrag<\/li>\n<\/ul>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/12\/10\/0-day-in-java-log4j-bibliothek-tangiert-zahlreiche-anbieter\/\">0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/12\/11\/gegenmittel-fuer-0-day-cve-2021-44228-in-java-log4j-bibliothek\/\">Gegenmittel f\u00fcr 0-day CVE-2021-44228 in Java log4j-Bibliothek<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/12\/14\/log4j-schwachstelle-cve-2021-44228-minecraft-dringend-patchen\/\">log4j-Schwachstelle CVE-2021-44228: Minecraft dringend patchen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/12\/14\/vmware-produkte-durch-log4j-schwachstelle-cve-2021-44228-bedroht\/\">VMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Seit dem Wochenende h\u00e4lt ja eine in der JAVA-Bibliothek log4j enthaltene Schwachstelle CVE-2021-44228 die IT-Szene in Atem. Die log4j-Bibliothek ist extrem verbreitet und wird in vielen Produkten verwendet. Zudem ist die Schwachstelle extrem einfach remote ausnutzbar und seit ca. 2 &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/14\/log4j-faq-und-repository\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-260536","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260536","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260536"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260536\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260536"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260536"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260536"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}