Log4Shell Zero-Day-Schwachstelle in der Java Bibliothek entdeckt
Log4Shell Zero-Day-Schwachstelle in der Java Bibliothek entdeckt
Am 10.12.2021 wurde bekannt, dass in der Java Bibliothek Log4j eine Zero-Day-Schwachstelle mit dem Namen Log4Shell existiert (CVE-2021-44228). Diese Schwachstelle wurde von BSI als höchst kritisch eingestuft. Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Öffentlich zugänglichen Quellen zufolge meldete Chen Zhaojun von Alibaba am 24. November 2021 offiziell eine Log4j-Schwachstelle für Remotecodeausführung (RCE) bei Apache. Diese kritische Sicherheitslücke, die anschließend als CVE-2021-44228 (auch bekannt als „Log4Shell“) verfolgt wurde, betrifft alle Versionen von Log4j von 2.0-beta9 bis 2.14.1. Diese Schwachstelle ermöglicht es Angreifern auf dem Zielsystem eigenen Programmcode auszuführen und damit den Server zu kompromittieren. Dieses Risiko besteht dann, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren.
Besonders hinterhältig: Angreifer könnten mithilfe der Lücke unauffällige Backdoors für sich im Netzwerk einbauen, sodass der eigentliche Angriff erst Wochen oder mehrere Monate später stattfinden könnte.
Unser BlackTeam hat unverzüglich entsprechende Regeln auf unsere Kunden-Sensoren ausgerollt und für die Schwachstelle typische Strings in mehreren Verbindungen zu einigen Webservern erkannt. Daraufhin wurden unsere Kunden auf die Schwachstelle aufmerksam gemacht und entsprechende Handlungsempfehlungen ausgesprochen.
Unsere Handlungsempfehlungen:
– Prüfen Sie, ob auf Ihren Systemen eine der betroffenen Versionen von Log4j (2.0-beta9 bis 2.14.1) verwendet wird.
– Es sollte entsprechend dem Grundschutzbaustein [BSI2021a] ein Update auf die aktuelle Version 2.15.0 [APA2021] (gittag: 2.15.0-rc2 [GIT2021c]) von log4j in allen Anwendungen sichergestellt werden.
– Da Updates von Abhängigkeiten in Java-Anwendungen häufig nicht zeitnah erfolgen können, sollte bis dahin die folgende Mitigationsmaßnahme ergriffen werden: Die Option „log4j2.formatMsgNoLookups“ sollte auf „true“ gesetzt werden, indem die Java Virtual Machine mit dem Argument „–Dlog4j2.formatMsgNoLookups=True” gestartet wird.
– Alternativ kann auch die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true gesetzt werden. Diese beiden Mitigationsmaßnahmen funktionieren erst ab Log4J Version 2.10. Achtung: Diese Maßnahme kann die Funktionsweise der Applikation beeinträchtigen, wenn die Lookup-Funktion tatsächlich verwendet wird.
-Weitere Maßnahmen zur Vorbeugung sind in folgendem Dokument des BSI beschrieben: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf