[Java] RCE 0-day exploit found in log4j lib

[Mac_Leod]

Guten Morgen,

weil es gerade diese richtig böse Sicherheitslücke gibt welche auch ausgenutzt wird, möchte ich Admin Kollegen mit diesem Topic darauf hinweisen.
siehe LunaSec Blog
Sofern ihr Internetfacing System mit der "log4j-Bibliothek" vom Apache Projekt (zb.: Jira, Confluence usw.) betreibt, dann sollte man diese aktuell aus dem Netz nehmen.
Es gibt aber auch schon andere Lösungsansätze, die aber extrem anstrengend werden können.

Updates (3 hours after posting): According to this blog post (in english), JDK versions greater than 6u211, 7u201, 8u191, and 11.0.1 are not affected by the LDAP attack vector. In these versions com.sun.jndi.ldap.object.trustURLCodebase is set to false meaning JNDI cannot load a remote codebase using LDAP.

In der letzten Atlassian Produkt Updaterunde sind auch schon fixes implementiert.
stimmt nicht, hab mich verlesen
Atlassian Security advisories

Grüße

ps.: Sorry wenn es schon so ein Sammeltopic dafür geben sollte, habe ich es nicht so schnell gefunden

 

[Falc410]

Woran siehst du, dass die Atlassian Produkte bereits die Fixes implementiert haben? Ich lese es so, dass es noch keinen Patch gibt, nur einen Workaround. Vielleicht fehlt auch noch Kaffee bei mir

 

[Mac_Leod]

bei mir war es auch der erste fehlende Kaffee, hab das hier falsch interpretiert -.-

Security advisories for Atlassian server products are released every Wednesday

 

[dermoritz]

Danke für den Hinweis. Ein wichtiger Satz nach

Updates (3 hours after posting): According to this blog post (in english), JDK versions greater than 6u211, 7u201, 8u191, and 11.0.1 are not affected by the LDAP attack vector. In these versions com.sun.jndi.ldap.object.trustURLCodebase is set to false meaning JNDI cannot load a remote codebase using LDAP.

However, there are other attack vectors targeting this vulnerability which can result in RCE.

Das heißt ein aktuelles Java bringt nur leichte Entspannung.
Mich hat Github gewarnt - ein selbtgeschriebener Service ist betroffen (zum Glück hinter einem Reverse Proxy mit Auth - also nicht direkt offen im inet).

Es ist aber wirklich ein kritische Lücke die insbesondere Standardsoftware betrifft - man muss nur wissen mit welchen Requests man log-Statements provoziert die teile des requests loggen und dann lädt der server code aus dem internet nach 🥵

 

[Falc410]

Ich bin gerade am überlegen wie ich herausfinden kann, welche Applikationen log4j benutzen oder nicht. Scheint ja doch was kritsiches zu sein.

 

[Mac_Leod]

Das Grundproblem an der Sache ist, das die log4j.lib halt echt fast überall verwendet wird, sobald JAVA mitspielt.

 

[Falc410]

ich kenns selbst noch aus meinen Java Entwickler Zeiten, aber wie gesagt, ich suche noch eine Liste mit Known Affected Software - in den ganzen Links die ich jetzt durchgegangen bin, ist nichts mit drin. Damit wir gezielt nach Anwendungen suchen können.

 

[Mac_Leod]

Ich bin gerade am überlegen wie ich herausfinden kann, welche Applikationen log4j benutzen oder nicht. Scheint ja doch was kritsiches zu sein.

https://github.com/jitsi/jitsi-vide...4388fa44f59d692f25c6ab908ef/config/log4j2.xml
https://access.redhat.com/security/cve/cve-2021-44228
https://www.randori.com/blog/cve-2021-44228/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://ubuntu.com/security/CVE-2021-44228

Da hilft irgendwie aktuell nur warten und die Systeme welche aus dem Netz erreichbar sind auszumachen bzw. nur intern erreichbar zu machen.

 

[teufelernie]

Hier steht, was zu tun ist:

Man beachte das update!

https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html

 

[Mac_Leod]

Die in Atlassian Produkten eingesetzten Versionen der Log4j sind die 1.2.17 und somit wahrscheinlich nicht betroffen

Note that log4j 1.x is End of Life and has other security vulnerabilities that will not be fixed. [...] The recommendation is to upgrade to 2.15.0.

falls es wen interessiert --> der Pul Request bei Log4j

 

[Bejabbo]

Die in Atlassian Produkten eingesetzten Versionen der Log4j sind die 1.2.17 und somit wahrscheinlich nicht betroffen


falls es wen interessiert --> der Pul Request bei Log4j

Hier auch das CVE https://access.redhat.com/security/cve/cve-2021-44228

This issue only affects log4j versions between 2.0 and 2.14.1. log4j 1.x is NOT affected by this flaw. In order to exploit this flaw you need

• A remotely accessible endpoint with any protocol (HTTP, TCP, etc) that allows an attacker to send arbitrary data,
• A log statement in the endpoint that logs the attacker controlled data

 

[Falc410]

Version 1.x ist halt schon länger EOL ^^ Aber so ist man mal geschützt wenn man kein Update gemacht hat. Hat das jemand verifiziert, dass Jira etc. 1.x einsetzt?

 

[Mac_Leod]

steht jedenfalls hier --> https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126

 

[Rickmer]

Na da bin ich mal gespannt, wo sich log4j sonst noch finden wird.

Für mich wäre jetzt interessant, ob die Sophos Firewalls oder der Citrix Netscaler getroffen sind. Kurzes googlen suggeriert, dass die beide auf Basis von Apache arbeiten.

 

[Falc410]

https://github.com/YfryTchsGD/Log4jAttackSurface

Das nimmt ungeahnte Ausmaße an

 

[transdenzentral]

FYI: Bitbucket hat Log4j2 in v2.14.1 im Gepäck - da ist also Handlungsbedarf bis das Update kommt. Bei Confluence und Jira ist noch 1.2.x am Start.

Generell ist das eine große PITA-Sache. Bin nur am Code / Projekte patchen oder dabei Systeme abzuschotten bzw. die Libs in den Containern / deployten Webapps zu patchen.

 

[Falc410]

Bei uns auch Krisenmodus seit heute morgen. Überhaupt festzustellen was alles verwundbar ist, ist schon ein PITA

 

[transdenzentral]

Ja das stimmt... v.a. wenn Bibliotheken verwundbare Versionen "geshaded" ausliefern, dann ist es nichtmal offensichtlich :/

Habe bei uns auch schon Payloads in den Logs mit russischem IP Ursprung, die genau die CVE ausprobieren an Public Diensten von uns...

 

[foo_1337]

Laut lunasec sind neuere Java Versionen wegen einer Änderung am JNDI Handling angeblich nicht betroffen:
https://www.lunasec.io/docs/blog/log4j-zero-day/
Zumindest für den JNDI Angriffsvektor. Wenn das stimmt, würde es die Sache deutlich entspannen

 

[Goodfred]

Guten Abend allerseits!

Kurz eine Frage von mir:
Wenn kein Java installiert ist braucht man sich keine Sorgen machen?
Ich habe gelesen das Apache betroffen ist und dachte ich frage hier mal zur Sicherheit nach.
Laut meinem Kenntnisstand ist bei der neuen Zero-Day Lücke nur log4j betroffen? Und log4j läuft nur wenn Java installiert ist?
Habe eben auf meinen Plesk Maschinen ob Java installiert ist, habe wohl Glück gehabt.
Wenn ich Java eingebe meldet mir mein Ubuntu Server welche Pakete Java enthalten - aber nicht das Java installiert ist.

Schönen Abend noch!