{"id":261000,"date":"2021-12-28T11:21:58","date_gmt":"2021-12-28T10:21:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261000"},"modified":"2023-11-28T17:39:16","modified_gmt":"2023-11-28T16:39:16","slug":"log4j-sicherheits-meldungen-28-12-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/28\/log4j-sicherheits-meldungen-28-12-2021\/","title":{"rendered":"Log4j-Sicherheits-Meldungen (28.12.2021)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/12\/29\/log4j-sicherheits-meldungen-28-12-2021\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Es sieht so aus, als ob die gro\u00dfe Welle an Hacks \u00fcber die log4j-Schwachstelle \u00fcber Weihnachten ausgeblieben ist. Aber es gibt F\u00e4lle, wie beim belgischen Verteidigungsministerium, die \u00fcber log4j angegriffen wurden. Die Angriffe werden aber m\u00f6glichweise im Januar 2022 folgen. Microsoft hat f\u00fcr den Defender 365 eine Statusanzeige erstellt, die die angreifbaren Ger\u00e4te in einem Netzwerk auflistet. Hier ein kurzer \u00dcberblick \u00fcber die Informationslage zum 28.12.2021.<\/p>\n<p><!--more--><\/p>\n<h2>Microsoft listet log4j-Gef\u00e4hrdung auf<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/93027bacc75c44dbbe69a5246c7f5864\" alt=\"\" width=\"1\" height=\"1\" \/>Microsoft hat gerade ein neues konsolidiertes Log4j-Dashboard f\u00fcr das Bedrohungs- und Schwachstellenmanagement im Microsoft 365 Defender-Portal <a href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1475627081753112579\" target=\"_blank\" rel=\"noopener\">eingef\u00fchrt<\/a>. Dieses soll Kunden bei der Identifizierung und Behebung von Dateien, Software und Ger\u00e4ten unterst\u00fctzen, die von den Log4j-Schwachstellen betroffen sind.<\/p>\n<p><a href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1475627081753112579\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Microsoft Log4j-Dashboard \" src=\"https:\/\/i.imgur.com\/l0fh7EH.png\" alt=\"Microsoft Log4j-Dashboard \" \/><\/a><\/p>\n<p>Zus\u00e4tzlich zu Windows und Windows Server werden diese Bedrohungs- und Schwachstellenfunktionen auch unter Linux unterst\u00fctzt, erfordern jedoch ein Update des Microsoft Defender for Endpoint Linux-Client auf Version 101.52.57 (30.121092.15257.0) oder h\u00f6her.\u00a0 Inzwischen entdeckt der Microsoft Defender for Containers Images, die von der Log4j-Schwachstelle betroffen sind. Wie Defender for Containers, Bedrohungs- und Schwachstellenmanagement und andere Microsoft-Sicherheitsl\u00f6sungen vor damit verbundenen Bedrohungen sch\u00fctzen, hat Microsoft im Beitrag <a href=\"https:\/\/www.microsoft.com\/security\/blog\/2021\/12\/11\/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation\/\" target=\"_blank\" rel=\"noopener\">Guidance for preventing, detecting, and hunting for exploitation of the Log4j 2 vulnerability<\/a> zusammen getragen.<\/p>\n<h2>CISA ver\u00f6ffentlicht log4j-Scanner<\/h2>\n<p>Das US-CISA hat auf Github einen Scanner f\u00fcr die Log4j-Schwachstelle <a href=\"https:\/\/github.com\/cisagov\/log4j-scanner\/tree\/master\/log4-scanner\" target=\"_blank\" rel=\"noopener\">ver\u00f6ffentlicht<\/a>. Das Repository bietet eine Scan-L\u00f6sung f\u00fcr die log4j-Remote-Code-Execution-Schwachstellen (CVE-2021-44228 &amp; CVE-2021-45046). Die Informationen und der Code in diesem Repository werden auf Basis As-Is mit Hilfe der Open-Source-Community zusammengestellt und von CISA in Zusammenarbeit mit der breiteren Cybersicherheits-Community aktualisiert. Es handelt sich hierbei nicht um eine 100%ig positive L\u00f6sung; es k\u00f6nnen auch falsch negative Ergebnisse auftreten.<\/p>\n<h2>Belgisches Verteidigungsministerium log4j-Opfer<\/h2>\n<p>Im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/20\/log4j-infos-belgisches-verteidigungsministerium-betroffen\/\">Log4j-Infos, belgisches Verteidigungsministerium betroffen?<\/a> hatte ich am 20. Dezember 2021 dar\u00fcber berichtet, dass das belgische Verteidigungsministerium hat seine Netzwerke nach einem schweren Cyberangriff wohl abgeschaltet habe. Es wurde ein Zusammenhang mit der log4j-Schwachstelle CVE-2021-44228 vermutet.<\/p>\n<p>Jetzt hat das belgische Verteidigungsministerium laut <a href=\"https:\/\/www.theregister.com\/2021\/12\/21\/belgium_defence_ministry_log4j_exploited\/\" target=\"_blank\" rel=\"noopener\">diesem Bericht<\/a> von The Register wohl eingestanden. Der\u00a0 Sprecher des belgischen Verteidigungsministeriums, Olivier Severin, sagte in einer vorbereiteten Erkl\u00e4rung, die The Register vorliegt:<\/p>\n<blockquote><p>Das Verteidigungsministerium hat am Donnerstag einen Angriff auf sein Computernetzwerk mit Internetzugang entdeckt. Es wurden schnell Quarant\u00e4nema\u00dfnahmen ergriffen, um die betroffenen Teile zu isolieren. Die Priorit\u00e4t liegt darin, das Verteidigungsnetz betriebsbereit zu halten.<\/p>\n<p>Dieser Angriff folgt auf die Ausnutzung der Log4j-Schwachstelle, die letzte Woche bekannt wurde und f\u00fcr die IT-Spezialisten in aller Welt in die Bresche springen.<\/p><\/blockquote>\n<p>Also (neben dem Bundesfinanzhof, siehe Links am Artikelende) das n\u00e4chste best\u00e4tigte prominente Opfer der Schwachstelle log4j.<\/p>\n<h2>Weitere Erkenntnisse und Infos zu log4j<\/h2>\n<p>Von Sicherheitsanbietern sind mir weitere Informationen rund um die log4j-Schwachstelle zugegangen. Der Anbieter Check Point hat mir Mitte Dezember 2021 beispielsweise bereits folgende Zahlen \u00fcber Angriffe f\u00fcr Deutschland zukommen lassen.<\/p>\n<ul>\n<li>In Deutschland wurden 45 Prozent aller von Check Point erfassten Firmen-Netzwerke attackiert.<\/li>\n<li>In \u00d6sterreich bel\u00e4uft sich die Zahl auf 46 Prozent, in der Schweiz auf 40 Prozent.<\/li>\n<li>Weltweit liegt der Schnitt bei 40 Prozent. In Europa bei 42,2 Prozent.<\/li>\n<li>Einmal registrieren die Sicherheitsforscher sogar 100 Attacken in der Minute.<\/li>\n<li>Mittlerweile hat Check Point rund 846 000 Angriffe registriert, 72 Stunden nach der ersten Attacke.<\/li>\n<li>46 Prozent der Attacken gingen von bekannten Hacker-Gruppen aus.<\/li>\n<li>Nach 72 Stunden gab es bereits \u00fcber 60 neue Varianten der Attacke.<\/li>\n<\/ul>\n<p>Check Point hat die wichtigsten Erkenntnisse in <a href=\"https:\/\/web.archive.org\/web\/20230307020522\/https:\/\/blog.checkpoint.com\/2021\/12\/13\/the-numbers-behind-a-cyber-pandemic-detailed-dive\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> ver\u00f6ffentlicht und das Ganze zum 20.12.2021 nochmals aktualisiert. Sicherheitsanbieter Tenable hat mir am 23.12.2021 eine Mitteilung geschickt, dass 30 Prozent der Unternehmen noch keine Vorkehrungen gegen Log4j-Angriffe unternommen haben. Amit Yoran erkl\u00e4rt dazu:<\/p>\n<blockquote><p>Den Telemetriedaten von Tenable zufolge haben bis zum 21. Dezember 2021 nur 70 Prozent der Unternehmen \u00fcberhaupt nach der Schwachstelle gescannt! Von den untersuchten Assets wurde Log4Shell in etwa zehn Prozent gefunden, darunter eine Vielzahl von Servern, Webanwendungen, Containern und IoT-Ger\u00e4ten. Log4Shell ist in allen Branchen und Regionen weit verbreitet.<\/p>\n<p>Ich bin besorgt, dass sich die Geschichte wiederholt, aber dieses Mal k\u00f6nnte der Schaden unkontrollierbar sein. W\u00e4hrend vor Jahren <a href=\"http:\/\/x7p3z.mjt.lu\/lnk\/AUwAAEPEryAAAAAAAAAAAAILrhYAAAAAPuMAAAAAABcvfABhxEKfWpDrT3YSR1yu214hEjBJkwAWxFU\/2\/PTrKqBGVj6J9vgk0qlG-WA\/aHR0cHM6Ly93d3cudGVuYWJsZS5jb20vYmxvZy93YW5uYWNyeS0yLTAtZGV0ZWN0LWFuZC1wYXRjaC1ldGVybmFscm9ja3MtdnVsbmVyYWJpbGl0aWVzLW5vdw\" target=\"_blank\" rel=\"noopener\">EternalBlue<\/a> weitreichende Angriffe wie WannaCry verursachte, ist das Potenzial hier viel gr\u00f6\u00dfer, weil Log4j sowohl in der Infrastruktur als auch in Anwendungen weit verbreitet ist. Keine einzige Schwachstelle in der Geschichte hat so eklatant nach Abhilfe gerufen.<\/p>\n<p>Log4Shell wurde als eines der gr\u00f6\u00dften Cybersicherheitsrisiken identifiziert, die wir je gesehen haben, aber viele Unternehmen ergreifen immer noch keine ausreichenden Ma\u00dfnahmen. Unseren Daten zufolge haben 30 Prozent der Unternehmen noch nicht einmal damit begonnen, ihre Umgebungen auf Log4Shell zu \u00fcberpr\u00fcfen, geschweige denn mit dem Patchen.<\/p><\/blockquote>\n<blockquote><p>Log4Shell wird die Datenverarbeitung, wie wir sie kennen, neu definieren. Es wird diejenigen, die sich die M\u00fche machen, sich zu sch\u00fctzen, von denjenigen trennen, die es sich bequem machen, nachl\u00e4ssig zu sein.\"<\/p><\/blockquote>\n<p>Der Anbieter OTORIO hat folgende Hinweise zur Behandlung der Sicherheitsschwachstelle f\u00fcr Netzwerke zusammen gestellt:<\/p>\n<ol>\n<li><b>Schnelle H\u00e4rtung<\/b> \u2013 Blockieren Sie IOCs (Indication of Compromise) in Perimeter-L\u00f6sungen wie Firewalls, IDS, IPS, WAFs usw.). Ein Beispiel f\u00fcr Microsofts IoC-Liste finden Sie <a href=\"http:\/\/x7p3z.mjt.lu\/lnk\/AWMAABdo_joAAAAAAAAAAAILrhYAAAAAPuMAAAAAABcvfABhxG-2N7WoUbzZRnSlXn4OpgzywgAWxFU\/7\/pww8jTW1QaFZqlBeGujxAg\/aHR0cHM6Ly9yYXcuZ2l0aHVidXNlcmNvbnRlbnQuY29tL0F6dXJlL0F6dXJlLVNlbnRpbmVsL21hc3Rlci9TYW1wbGUlMjBEYXRhL0ZlZWRzL0xvZzRqX0lPQ19MaXN0LmNzdg\">hier<\/a>. Es ist wichtig, sicherzustellen, dass Ihre WAFs automatisch aktualisiert und mit Log4j-Erkennungs- und Pr\u00e4ventions-Updates geladen werden (dies garantiert keine Exploit-Pr\u00e4vention, da sie auf Verhalten und Signaturen basiert).<\/li>\n<\/ol>\n<p>2. <b>Identifizierung <\/b><\/p>\n<p>a. Verringern Sie Ihre globale Angriffsfl\u00e4che durch Scannen mit einem Tool wie ReconOT von OTORIO, das automatisch und passiv OT-IoT-IT-Aufkl\u00e4rung betreibt, um Assets zu entdecken, sobald sie von einem potenziellen Angreifer entdeckt werden. K\u00fcrzlich hat OTORIO ReconOT mit der nicht-invasiven F\u00e4higkeit ausgestattet, Anwendungen zu erkennen, die f\u00fcr Log4j anf\u00e4llig sein k\u00f6nnten.<\/p>\n<p>b. Verwenden Sie Ihr Asset-\/Softwareinventar, um bekannte Anwendungen zu identifizieren, die als anf\u00e4llig f\u00fcr Log4j ver\u00f6ffentlicht wurden. Es wird empfohlen, <a href=\"http:\/\/x7p3z.mjt.lu\/lnk\/AWMAABdo_joAAAAAAAAAAAILrhYAAAAAPuMAAAAAABcvfABhxG-2N7WoUbzZRnSlXn4OpgzywgAWxFU\/8\/vHhRpn720AAbJJWHQdScWQ\/aHR0cHM6Ly9naXRodWIuY29tL2Npc2Fnb3YvbG9nNGotYWZmZWN0ZWQtZGIjc29mdHdhcmUtbGlzdA#software-list\">https:\/\/github.com\/cisagov\/log4j-affected-db#software-list<\/a> zu folgen, da es eine gepflegte Liste anf\u00e4lliger Software enth\u00e4lt. Die Technologie von OTORIO (sowohl <a href=\"https:\/\/web.archive.org\/web\/20220927203720\/https:\/\/www.otorio.com\/ram2-automated-risk-monitoring-and-management\/\">RAM<sup>2<\/sup><\/a> als auch <a href=\"https:\/\/web.archive.org\/web\/20220810181207\/https:\/\/www.otorio.com\/ram2-automated-risk-monitoring-and-management\/spot-security-and-compliance-risk-assessment-platform\/\">spOT<\/a>) kann Sie bei diesem Prozess optimal unterst\u00fctzen.<\/p>\n<p>c. Scannen Sie Pakete. Tools, wie das von CERTCC (ver\u00f6ffentlicht von cisa), k\u00f6nnten ebenfalls n\u00fctzlich sein, sowohl f\u00fcr Linux als auch f\u00fcr Windows, wenn es kein anderes SBOM-Tool gibt.<\/p>\n<p>3. <b>Entsch\u00e4rfung und Patching<\/b> \u2013 Aktualisierung auf die neueste Log4j-Version (<a href=\"http:\/\/x7p3z.mjt.lu\/lnk\/AWMAABdo_joAAAAAAAAAAAILrhYAAAAAPuMAAAAAABcvfABhxG-2N7WoUbzZRnSlXn4OpgzywgAWxFU\/11\/01Pw8jHRoSIIdAIOsZZ_1w\/aHR0cHM6Ly9sb2dnaW5nLmFwYWNoZS5vcmcvbG9nNGovMi54L2Rvd25sb2FkLmh0bWw\">https:\/\/logging.apache.org\/log4j\/2.x\/download.html<\/a>). Wenn ein Patching nicht m\u00f6glich ist, isolieren Sie das betroffene System so weit wie m\u00f6glich. Wenn es sich um OT-Anlagen handelt, vergewissern Sie sich, dass die oben genannten Schritte mit dem Hersteller des Systems abgestimmt sind.<\/p>\n<ol start=\"4\">\n<li><b>\u00dcberwachung<\/b><\/li>\n<\/ol>\n<ol>\n<li>Erkennung von Ausbeutungsversuchen auf Linux-Hosts durch Durchsuchen der log4j jndi-Protokolle: sudo egrep -i -r '\\$\\ jndi:(ldap[s]?|rmi|dns):\/[^\\n]+' \/var\/log\/<\/li>\n<li>Snort-Regeln f\u00fcr IDS\/IPS-Systeme &#8211; https:\/\/rules.emergingthreatspro.com\/open\/<\/li>\n<li>Suchen und Blockieren von IOCs bekannter Angreifer, die Systeme in freier Wildbahn ausnutzen:<\/li>\n<\/ol>\n<ol start=\"4\">\n<li>Wenn Sie EDR auf DMZ-Systemen einsetzen, \u00fcberwachen Sie diese auf verd\u00e4chtige curl-, wget- oder \u00e4hnliche Befehle.<\/li>\n<\/ol>\n<p>Dar\u00fcber hinaus wird Unternehmen dringend empfohlen, die <a href=\"https:\/\/logging.apache.org\/log4j\/2.x\/security.html\" target=\"_blank\" rel=\"noopener\">Apache Log4j Security Vulnerabilities- Webseite<\/a> auf Aktualisierungen und Hinweise zur Schadensbegrenzung zu \u00fcberpr\u00fcfen und eng mit ihren Providern und Lieferanten zusammenzuarbeiten, um alle Aktualisierungen auf den betroffenen Systemen zu \u00fcberwachen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/12\/10\/0-day-in-java-log4j-bibliothek-tangiert-zahlreiche-anbieter\/\">0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/12\/11\/gegenmittel-fuer-0-day-cve-2021-44228-in-java-log4j-bibliothek\/\">Gegenmittel f\u00fcr 0-day CVE-2021-44228 in Java log4j-Bibliothek<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/12\/14\/log4j-schwachstelle-cve-2021-44228-minecraft-dringend-patchen\/\">log4j-Schwachstelle CVE-2021-44228: Minecraft dringend patchen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/12\/14\/vmware-produkte-durch-log4j-schwachstelle-cve-2021-44228-bedroht\/\">VMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/12\/14\/log4j-faq-und-repository\/\">log4j FAQ und Repository<\/a><br \/>\n<a href=\"news: New Schwachstelle, Bundesfinanzhof-Webseite down, viele Firmen ungepatcht\">Log4j-News: New Schwachstelle, Bundesfinanzhof-Webseite down, viele Firmen ungepatcht<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Es sieht so aus, als ob die gro\u00dfe Welle an Hacks \u00fcber die log4j-Schwachstelle \u00fcber Weihnachten ausgeblieben ist. Aber es gibt F\u00e4lle, wie beim belgischen Verteidigungsministerium, die \u00fcber log4j angegriffen wurden. Die Angriffe werden aber m\u00f6glichweise im Januar 2022 folgen. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/28\/log4j-sicherheits-meldungen-28-12-2021\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[2699,4328],"class_list":["post-261000","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-defender","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261000","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=261000"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261000\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=261000"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=261000"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=261000"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}