Eine kritische Schwachstelle in einer Logging-Komponente für Java-Software ist am Wochenende bekannt geworden.
Sofort nach Bekanntwerden dieser extrem kritischen Schwachstelle wurden das Antares SOC samt Red Team aktiv, denn diese Log4j-Komponente ist auf unzähligen Linux und Windows-Systemen sowie Appliances zu finden.
Um eventuell betroffene Systeme zu finden bei denen in denen der Aufruf der verwundbaren ‚JndiLookup.class‘ der LOG4Shell Schwachstelle noch enthalten ist, empfehlen wir das Durchsuchen aller Windows und Linux Server- und Clientsysteme.
Dies kann durch die in diesem Artikel unterhalb verlinkten Log-Scripte erfolgen (siehe graue Box ganz unten).
Eine kritische Schwachstelle in einer Logging-Komponente für Java-Software ist am Wochenende bekannt geworden. Diese Log4j-Komponente ist auf Linux und Windows-Systemen sowie auf Appliances zu finden.
Diese Komponente ist dafür zuständig, Logs der Java-Applikationen in ein Logfile zu schreiben können. Log4j unterstützt dabei auch die Auflösung von Variablen.
Dies ist z.B. sinnvoll, wenn im Logfile anstatt „$hostname“ „srv-dc-01.intern.local“ in einem Log steht.
Leider werden manche Variablen in den Logs aber so interpretiert, dass von einem Angreifer-System Daten nachgeladen und ausgeführt werden.
Da es für Angreifer in vielen Fällen sehr, sehr einfach ist, in Logzeilen einen beliebigen Text zu platzieren, wird diese Schwachstelle bereits seit dem Wochenende auf viele kreative Arten ausgenutzt.
Die Ausnutzung der Schwachstelle und die Verteilung von Ransomware über diese Schwachstelle hat bereits begonnen!
Vom Antares SOC Team adaptierte Test-Scripts zur schnellen Überprüfung von Linux und Windows Systemen:
Anstatt von Github können diese Scripte auch auf eigenen internen Webservern – nach ihrem Codereview - gehostet werden:
