The #Log4Shell vulnerability isn't just a RCE 0day. It's a vulnerability that causes hundreds and thousands of 0days in all kinds of software products. It's a 0day cluster bomb.
@cyb3rops (Florian Roth)
log4j log4shell Tipps und Handlungsanweisungen
Strukturierte Informationen und Tipps zum Umgang mit der log4j Schwachstelle (CVE-2021-44228)
Die log4j Schwachstelle ist extrem kritisch, da die betroffene Java Bibliothek in zig kommerziellen Produkten, kostenfreier Software und Eigenentwicklungen steckt. Das Ausmaß dieser Schwachstelle kann noch gar nicht seriös beurteilt werden und wird sich erst in den kommenden Wochen zeigen.
Log4j Informationsquellen
Wir empfehlen das - kontinuierlich aktualisierte - Whitepaper des BSI zu nutzen:
Dort werden aktuelle Erkenntnisse zusammengetragen und hilfreiche Tools verlinkt, beispielsweise
Gute Zusammenfassungen und Hintergründe liefern folgende Quellen:
Vorgehensweise zur Eindämmung
Grundsätzlich ist ein strukturierter Ansatz und eine gezielte Überprüfung aller potenziell betroffenen Anwendungen sehr wichtig. Wir empfehlen auf alle Fälle die folgenden Maßnahmen:
Prüfung ob eine Applikation betroffen ist
- Prüfen Sie, ob einer Ihrer Softwarehersteller bereits bekannt ist bzw. reagiert hat, beispielsweise über log4shell/README.md at main · NCSC-NL/log4shell · GitHub
- Prüfen Sie, ob eigenentwickelte Java-basierte Applikationen oder Nischenprodukte eine verwundbare Version von log4j einsetzen, beispielsweise mit Hilfe des Simple local log4j vulnerability scanner. Aber bedenken Sie: die reine Verwundbarkeit bedeutet noch nicht, dass die Schwachstelle auch bereits ausgenutzt wurde.
- Verwenden Sie EDR-Tools (z. B. Microsoft Defender for Endpoint) oder Schwachstellen-Scanner, um verwundbare Applikationen zu erkennen.
- Konzentrieren Sie sich zu Beginn vor Allem auf öffentlich zugängliche Systeme. Denken Sie aber bitte daran, dass manche System auch indirekt von außen zugänglich sind, beispielsweise ein Ticket-System über E-Mail.
Implementierung von Erste-Hilfe-Maßnahmen
- Überprüfen Sie Ihre Firewall-Regeln für ausgehende Verbindungen: es sollten nur solche Systeme ausgehende Verbindungen herstellen dürfen, die dies unbedingt benötigen. Sorgen Sie für eine angemessene Protokollierung der Verbindungen.
- Deaktivieren Sie als Workaround die verwundbare "Lookup-Funktion", wie im BSI-Whitepaper beschrieben.
- Sollte aktuell keine Abhilfe möglich sein, sollten Sie eine vorübergehende Isolierung oder Abschaltung in Betracht ziehen.
Überprüfung einer möglichen Kompromittierung
- Analysieren Sie Ihre Firewall-Protokolle auf ungewöhnliche ausgehende Verbindungen, insbesondere LDAP.
- Überprüfen Sie den ausgehenden DNS-Verkehr auf verdächtige Domänen.
- Analysieren Sie Reverse-Proxy- oder Anwendungsprotokolle auf mögliche log4shell-Versuche, beispielsweise mit dem Log4shell Detector. Aber beachten Sie: ein Alarm bedeutet nicht direkt, dass die Anwendung verwundbar oder kompromittiert ist. Es könnte sich auch um einen fehlgeschlagenen Versuch handeln.
- Analysieren Sie verwundbare Systeme auf Anomalien in AntiVirus- oder EDR-Logs oder überprüfen Sie die Systeme auf Anzeichen eine Kompromittierung, beispielsweise mit dem Incident response Scanner Thor.
Viel Erfolg!