Am 9. Dezember 2021 wurde eine Schwachstelle (CVE-2021-44228) in der bekannten Java-Bibliothek Log4j veröffentlicht. Ebenso wurde ein Proof of Concept (PoC) [1] veröffentlicht. Die Schwachstelle erlaubt es einem Angreifer, beliebigen Code aus der Ferne auszuführen.
Das Kritische daran: Diese Bibliothek wird von den meisten Java-Applikationen verwendet und ist relativ einfach ausnutzbar. Um zu überprüfen, ob die Schwachstelle in der eigenen Applikation bereits ausgenutzt wurde, sollten die Applikations- und Webserver-Logs auf etwaige Indizien überprüft werden. [2]
Hinweis: Am 13. Dezember wurde ein neuer Blogbeitrag zu diesem Thema veröffentlicht. Dieser enthält ausführlichere Informationen und weitere detailliertere Massnahmenempfehlungen: Update: Remote-Code-Execution-Schwachstelle (RCE) in bekannter Java-Bibliothek – CVE-2021-44228
Was sollte unternommen werden?
Folgende Massnahmen werden dringend empfohlen:
- Bevorzugte Lösung: Installieren Sie Version 2.15.0 der log4j-Bibliothek. Dies könnte jedoch eine Neukompilierung und Neuverteilung der Pakete erfordern.
- Wenn Sie Version 2.10.0 verwenden, können Sie eine Eigenschaft namens formatMsgNoLookups in den Java-Einstellungen auf true setzen, um Lookups zu verhindern.
- Für ältere Versionen müssen die Protokollierungsmuster wie unter dem folgenden Link angegeben geändert werden: https://issues.apache.org/jira/browse/LOG4J2-2109
Wie können sich Unternehmen schützen?
Generell gilt:
- Jeglicher ausgehender Datenverkehr, der nicht benötigt wird, sollte blockiert werden.
- Wenn Sie den Datenverkehr überprüfen, achten Sie auf LDAP- und RMI-Protokolle.
- Applikationen sollten hinter einem Reverse Proxy und / oder einer Web Application Firewall (WAF) ausgeführt werden.
Weitere Informationen und Quellen:
[1]: https://github.com/tangxiaofeng7/apache-log4j-poc
[2]: https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
