Es wurde eine kritische Schwachstelle für den Java Logger Apache Log4j veröffentlicht, welche es einem Angreifer ermöglicht, eigenen Code auszuführen. wenn er Kontrolle über Logs oder Log Parameter hat.
Einer ersten Analyse von LunaSec, sollten auch Nutzer von Apache Struts ihre Systeme sofort updaten oder entsprechend der genannten Mitigation vorgehen. Außerdem wurde nochmals genauer definiert, welche Voraussetzungen für den Exploit benötigt werden, um diesen durchzuführen. Neben einem Server mit einer entsprechenden log4j Version wird lediglich ein Endpoint benötigt der zu diesem Server verbunden werden kann.
Eine genaue Vorgehensweise finden Sie im Advisory von LunaSec.
CVE:
2021-44228
Betroffene Produkte:
Apache Log4j Version 2.0-beta9 bis 2.14.1
- VMware
- Cisco
- Huawei
- Citrix
- gitHub
- McAfee
- Microsoft
- Oracle
- SAP
- Palo Alto Panorama
Eine Liste mit über hundert weiteren betroffenen Produkten finden Sie hier.
Kritikalität der Schwachstelle:
Kritisch
Mitigation oder Maßnahme zur Vermeidung resp. mögliche Handlungsempfehlungen:
Es wird empfohlen ein Update auf Log4J Version 2.16.0 durchzuführen. Wenn ein Update nicht möglich ist, sollte die Systemeinstellung „log4j2.formatMsgNoLookups“ des Log4J auf „true“ gesetzt werden.
Ist Ihr System betroffen?
Wir stellen Ihnen gerne ein kostenloses Skript zur Verfügung, mit dessen Hilfe sie ihre Domains auf diese Schwachstelle überprüfen können: Skript herunterladen!
Darüber hinaus können Sie als Kunde ab sofort über unseren Schwachstellenscanner cyberscan.io® prüfen, ob ihr System von der Log4shell Sicherheitslücke betroffen ist. Wie cyberscan.io® dabei im Detail vorgeht, können Sie in folgender technischen Beschreibung nachlesen:
Bei dringenden Rückfragen sind wir telefonisch unter folgender Telefonnummer erreichbar: +49 461 995 838 0
Referenzen und Links:
- Apache Log4j Security: https://logging.apache.org/log4j/2.x/security.html
- Log4J Download: https://logging.apache.org/log4j/2.x/download.html
- LunaSec Security Advisory: https://www.lunasec.io/docs/blog/log4j-zero-day/