Kritische Schwachstelle in Apache log4j2

Aus gegebenen Anlass möchte ich Ihnen nachfolgende Informationen zu einer besonders kritischen Schwachstelle in Apache log4j2 zukommen lassen:

Bei Anwendungen, die Apache Log4j 2 einsetzen, kann ein Angreifer einen beliebigen Programmcode (Remote Code Execution) ausführen ^[1]. Erste Proof of Concepts wurden bereits am 10.12.2021 auf GitHub ^[2] veröffentlicht

Gemäß unserem Monitoring von öffentlichen Quellen wurde diese kritische Schwachstellte bereits seit dem 1.12.2021 von Cyberkriminellen und staatlichen Angreifern auf Produktivservern ausgenutzt ^[3]!

Bei Log4j 2 handelt es sich um eine sehr beliebte offene Programmbibliothek, die praktisch von allen Softwarenentwicklern in eigenen Produkten eingesetzt wird. Bekannte Cloud-Anwendungen wie Apple iCloud, Steam aber auch das Spiel Minecraft ^[4] sind gemäß Berichten betroffen.

Das Ausmaß der Schwachstelle ist massiv, da enorm viele Services und Unternehmen betroffen sind. Die Schwachstelle CVE-2021-44228 wird von Expert:innen vorab mit der höchsten Stufe von 10.0 (gemäß CVSS-Risk-Score) bewertet.

 

Auswirkungen und Workaround

Die Apache Software Foundation hat umgehend Version 2.15 von log4j zur Verfügung gestellt, die von der Remote Code Execution Schwachstelle nicht mehr betroffen ist [5].

Wir empfehlen, alle im Einsatz befindliche Versionen von Apache log4j zwischen Versionen 2.0.0 und 2.14.0 umgehend auf Version 2.15.0 [5] zu aktualisieren.

Große Softwarehersteller wie Microsoft arbeiten ebenfalls bereits an einer Aktualisierung ihrer Systeme und Produkte.

Wir empfehlen, die Newsfeeds der bei Ihnen im Einsatz befindlichen Produkte großer Softwarehersteller zu überwachen und möglichst zeitnah Updates betroffener Software/Appliances zu installieren.

[1] https://www.lunasec.io/docs/blog/log4j-zero-day 

[2] https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce 

[3] https://twitter.com/eastdakota/status/1469800951351427073 

[4] https://twitter.com/MalwareTechBlog/status/1469289471463944198 

[5] https://logging.apache.org/log4j/2.x/download.html

 

 

Weitere Informationsquelle(n):

SANS InfoSec Handlers Diary Blog:
https://isc.sans.edu/diary/rss/28122 [What we see and how to defend…]
https://isc.sans.edu/diary/rss/28124 [Log4Shell exploited to implant coin miners]

DFN-CERT Advisory-Archiv: 2021-2576: Apache Log4j: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes
https://adv-archiv.dfn-cert.de/adv/2021-2576/

Huntress Log4Shell Vulnerability Tester
https://log4shell.huntress.com

log4j RCE Exploitation Detection
https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b

Malware URLs
https://urlhaus.abuse.ch/browse/tag/log4j

Malware Samples
https://bazaar.abuse.ch/browse/tag/log4j