...
- Um auf einem Server nach verwundbaren Versionen zu suchen, hat Logpresso ein Tool zur Verfügung gestellt: https://github.com/logpresso/CVE-2021-44228-Scanner
- Ein Scan oder Test über das Netzwerk ist nützlich, um unbekannt verwundbare Systeme in einem Netz zu entdecken. Da aber nur einen Teil der möglichen Szenarien getestet werden kann, sollte das nicht für ein "Gesundtesten" benutzt werden.
- Scanner von FullHunt: https://github.com/fullhunt/log4j-scan
- Huntress Log4Shell Vulnerability Tester (benötigt etwa Burp oder anders erstellte Aufrufe): https://log4shell.huntress.com
- Angriffe können in Logfiles mit Hilfe von https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b.xxx 7d15db6e3860b gesucht werden. Achtung: Sofern die durchsuchten Logs mit Log4j erstellt wurden (im Gegensatz etwa zu Apache-Logs via syslog oder eigenem Logging), ist damit zu rechnen, dass erfolgreiche Angriffe nicht im Log zu sehen sind, da der Angriffsstring interpretiert statt geloggt wurde.
Ein Beispiel, wie Angriffe im Logfile aussehen können, ist im Special Report von CERT.at unter Live-Artefakte zu finden. - Als ACOnet-CERT erhalten wir von externen Researchern Hinweise auf verwundbare Systeme, die wir natürlich an die Security-Kontakte weiterleiten. Naturgemäß können wir diese Scans weder wiederholen noch detaillierte Auskünfte darüber erteilen.
Lösung
Die einzige als sicher angesehene (per 15. Dezember 2021) Lösung ist ein Upgrade auf Log4j 2.16.0 oder höher. Dazu ist Java 8 erforderlich.
- Lokale JRE: upgrade (relativ) leicht auf Maschinenebene lösbar
- Anwendungen mit eigener JRE: Upgrade durch Hersteller / Distributor / Upstream
- Bei Eigenentwicklungen:
- Aktuell verteilte Versionen prüfen
- Im Deployment auf aktuelle Log4j-Versionachten
...