Log4Shell Schwachstelle - Was Sie jetzt wissen müssen

Lars Zuckschwerdt / 13. Dezember 2021

Möglicherweise haben Sie es bereits aus den Medien erfahren: Vergangenen Freitag wurde eine Schwachstelle veröffentlicht, die nahezu jeden Webserver angreifbar macht. Die so genannte „Log4Shell“ Schwachstelle betrifft eine Java Library innerhalb des Apache Webservers und kann für das unbeaufsichtigte Ausführen von Schadcode auf Webservern verwendet werden. Derzeit sind diverse Proof – of – Concept Exploits im Umlauf und es werden bereits hunderte aktive Angriffe weltweit gemonitort (GreyNoise).

Im Folgenden möchten wir Ihnen ein paar Informationen und Möglichkeiten zum Schutz mitgeben.

Was ist Log4Shell?

  • Eine neue sogenannte Remote Code Execution Schwachstelle in Apache Log4j – CVE-2021-44228
  • Aktuell wird die Schwachstelle für Cryptominer Payloads verwendet – es wird jedoch erwartet, dass die Schwachstelle auch für Ransomware und Nation – State – Angriffe verwendet werden wird.
  • Microsoft hat einen Blogbeitrag veröffentlicht, der Details und Schritte aufzeigt.

Wann wurde die Schwachstelle bekannt?

  • Die ersten Berichte gingen am 09.12.2021 ein. Inzwischen ist klar, dass die ersten Exploits bereits am 03.12.2021 ausgeführt wurden. Ein genauer Zeitpunkt ist demnach nicht bekannt.

Wer ist von der Sicherheitslücke betroffen?

  • Nahezu jeder, der eine Webapplikation betreibt, die auf Apache und / oder Java basiert und ein Logging betreibt. Dann wird in der Regel die Log4j Library verwendet.
  • Konkret sind aktuell u.a. folgende Produkte / Hersteller aus unserem Portfolio betroffen: GitHub - YfryTchsGD/Log4jAttackSurface

Was können Sie tun?

Die folgenden Punkte sind Empfehlungen, um die Schwachstelle in der eigenen Umgebung zu erkennen und eine eventuelle Ausnutzung aufzudecken. Außerdem ist die Sicherheitslücke mittels Updates behebbar.

Wenn Sie den Microsoft Defender for Endpoint auf Ihren Clients und Servern betreiben

Eine aktuelle Übersicht über die aktuelle Situation je Hersteller ist hier zu finden: BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-12 2204 UTC · GitHub oder hier: https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/#affected-products

Installieren Sie umgehend die von den Herstellern zur Verfügung gestellten Patches! Warten Sie nicht bis morgen – installieren Sie diese als Notfallupdates möglichst sofort!

Wenn Sie keinen Patch haben, gibt es folgende Möglichkeit:

  • According to Apache’s guidance, in releases >=2.10, this behavior can be mitigated by setting either the system property log4j2.formatMsgNoLookups or the environment variable LOG4J_FORMAT_MSG_NO_LOOKUPS to true.

 

Zurück