...
- Um auf einem Server nach verwundbaren Versionen zu suchen, hat Logpresso ein Tool zur Verfügung gestellt: https://github.com/logpresso/CVE-2021-44228-Scanner
- Ein Scan oder Test über das Netzwerk ist nützlich, um unbekannt verwundbare Systeme in einem Netz zu entdecken. Da aber nur einen Teil der möglichen Szenarien getestet werden kann, sollte das nicht für ein "Gesundtesten" benutzt werden.
- Scanner von FullHunt: https://github.com/fullhunt/log4j-scan
- Huntress Log4Shell Vulnerability Tester (benötigt etwa Burp oder anders erstellte Aufrufe): https://log4shell.huntress.com
- Angriffe können in Logfiles mit Hilfe von https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b.xxx 7d15db6e3860b gesucht werden. Achtung: Sofern die durchsuchten Logs mit Log4j erstellt wurden (im Gegensatz etwa zu Apache-Logs via syslog oder eigenem Logging), ist damit zu rechnen, dass erfolgreiche Angriffe nicht im Log zu sehen sind, da der Angriffsstring interpretiert statt geloggt wurde.
Ein Beispiel, wie Angriffe im Logfile aussehen können, ist im Special Report von CERT.at unter Live-Artefakte zu finden. - Als In seiner Rolle ACOnet-CERT erhalten wir erhält die Stabsstelle IT-Security des ZID von externen Researchern Hinweise auf verwundbare Systeme, die wir natürlich an die Security-Kontakte weiterleiten. Naturgemäß können wir diese Scans weder wiederholen noch detaillierte Auskünfte darüber erteilen.
...
| Warning | ||
|---|---|---|
| ||
| Es gibt Berichte, wonach diese Schwachstelle schon länger ausgenutzt wird. Daher ist es wichtig, Systeme nach Schließen der Schwachstelle auf mögliche vorangegangene Kompromittierung zu untersuchen. |
Mitigierende Massnahmen
...
Verzeichnisse betroffener Software:
- Niederländisches nationales CERT (NCSC-NL):
https://github.com/NCSC-NL/log4shell/blob/main/software/README.md - SwitHak:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592 - Softcat:
https://www.softcat.com/apache-vulnerability
Kurzer Post darüber, inwieweit Log4j 1 betroffen sein kann:
https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126
...
Allgemeine Info- und Überblickseiten:
- Tech Solvency: Log4Shell log4j vulnerability (CVE-2021-44228 / CVE-2021-45046) - cheat-sheet reference guide (sehr konzis, umfassend, viele nützliche Links)
https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/ - USA / Cybersecurity and Infrastructure Security Agency: Apache Log4j Vulnerability Guidance
https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
News, Anlassbezogenanlassbezogen:
- ZDNet: Second Log4j vulnerability discovered, patch already released:
https://www.zdnet.com/article/second-log4j-vulnerability-found-apache-log4j-2-16-0-released/ - Bericht über die früheste bekannte Sichtung (1. Dezember)
| Widget Connector | ||
|---|---|---|
|
...
- Nicht nur Server, auch lokal auf Endgeräten installierte Applikationen können betroffen sein. Hier erscheinen beispielsweise Chat-Programme potentiell gefährdet, da sie mit vielen anderen Quellen Daten austauschen.
- Noch eher wenig ist über die Möglichkeit bekannt, ob auch Netzwerkkomponenten von der Schwachstelle betroffen sein könnten – etwa wenn sie reverse-lookup im DNS machen.
- Auch NAS-Server, die oft in Heimnetzen verwendet werden, kommen als Ziel von Angriffen in Betracht.
- Die initial publizierten Angriffsmuster nutzen LDAP. Es gibt widersprüchliche Informationen darüber, ob oder zu welchem Grad die Schwachstelle auch mit anderen Protokollen ausgenutzt werden kann. Spezifisch LDAP-Zugriffe z. B. , etwa an der Firewall, zu blockieren, erscheint demnach wenig effektiv.
...