Am Freitag dem 10. Dezember 21 wurde unter dem Namen Log4Shell (CVE-2021-44228) eine kritische Sicherheitslücke (Zero-Day Vulnerability) in Apache Log4j veröffentlicht; sie kann remote ausgenutzt werden und erlaubt einem Angreifer eigenen Code auszuführen (RCE). Erfolgreich angegriffen wurden unter anderem Amazon, Apple, Tesla, Twitter, Steam, etc… Wegen der einfachen Ausnutzung und der möglichen schweren Folgen hat das BSI bereits am Samstag dem 11. Dezember die höchste Warnstufe „Rot“ vergeben.
Sind Sie betroffen?
Um zu prüfen, ob ihre Server verwundbar sind, können Sie gerne folgendes Script nutzen:
https://www.softscheck.com/poc/log4shell/log4shell_check.py
Betroffen ist Log4j vor Version 2.15.0 (6. Dezember 2021). Ebenfalls verwundbar sind einige Produkte, die Log4j einbinden. Eine ständig aktualisierte Liste hierzu findet sich unter: https://github.com/NCSC-NL/log4shell/tree/main/software
Was sollten Sie sofort tun, falls Sie betroffen sind?
- Patchen: Log4j auf Version 2.15.0 (oder neuer) aktualisieren oder die Produkte aktualisieren, die Log4j nutzen.
- Mitigieren: Sollte Patchen nicht möglich sein, kann die Lücke durch Deaktivieren des Loggings von Lookups mitigiert werden. Hierzu “log4j2.formatMsgNoLookups” oder die Umgebungsvariable “LOG4J_FORMAT_MSG_NO_LOOKUPS” auf “true” setzen.
- Erfolgreich angegriffen? Überprüfen, ob die Sicherheitslücke bereits ausgenutzt wurde. Hierbei hilft das Tool log4shell-detector https://github.com/Neo23x0/log4shell-detector. Bei erfolgreichem Angriff muss das gesamte System forensisch untersucht werden; kritische Systeme müssen vom Netz genommen werden.