News Log4j: Angriff auf belgisches Verteidigungsministerium

[mischaef]

Die Probleme rund um die Java-Bibliothek Log4j ziehen immer größere Kreise. Nach dem Bundesfinanzhof musste nun auch das belgische Verteidigungsministerium Teile seines Netzwerkes aufgrund eines Angriffes über die Sicherheitslücke herunterfahren. Gleichzeitig sind erste Würmer und damit automatisierte Angriffe bekannt geworden.

Zur News: Log4j: Angriff auf belgisches Verteidigungsministerium

 

[LuckyMagnum]

Auweh Zwick!

 

[nighteeeeey]

Muss ich als Privatmensch irgendetwas tun? Das sagt mir alles überhaupt nichts. Ich weiß nicht mal, ob ich Java nutze? Kann da jemand was zu sagen?

 

[pvcf]

dieselbe Frage stellt sich mir auch gerade...

 

[AlphaKaninchen]

@NighteeeeeY
Wenn du geräte hast die vom internet erreichbar sind und Java nutzen solltest du zumindest Prüfen ob die Programme eine alte Log4j Version nutzen, wenn ja oder unsicher am besten abschalten bzw aktualisieren wenn möglich. Aber auch z.B. Minecraft auf einem Server spielen kann gefährlich werden.

Bekannt ist z.B. das der UniFi Controller die Lücke hat...

 

[Erazor]

Zum Scan des eigenen PC -> https://github.com/logpresso/CVE-2021-44228-Scanner
Zum Scan von URLs -> https://github.com/fullhunt/log4j-scan

 

[Termy]

Dass so lange nach Bekanntwerden der Lücke noch staatliche Stellen ungesichert sind ist aber mal ein absolutes Armutszeugnis. Dass Firmen teilweise von absoluten Amateuren betreurt werden ist ja nichts neues, genau wie bei kleinen Behörden. Von einem Verteidigungsministerium oder Bundesfinanzhof würde ich aber schon die sehr niedrig gesetzte Anspruchshaltung haben, dass kritische, aktiv ausgenutzte CVEs nach über einer Woche gepatcht sind...

 

[bigfudge13]

Das erklärt die Rundmail in der Firma heute morgen…

 

[FatFire]

Das erklärt die Rundmail in der Firma heute morgen…

Nein, die Rundmail heute morgen ist nur ein Beweis dafür, dass eure IT schläft
Eigentlich hätten die schon letzte Woche kommen müssen.

 

[bigfudge13]

Nur eine Woche später ist doch gut
(Bei uns)

 

[nighteeeeey]

Zum Scan des eigenen PC -> https://github.com/logpresso/CVE-2021-44228-Scanner

If native executable doesn't work, use the JAR instead.

Was bedeutet das?

 

[AlphaKaninchen]

@NighteeeeeY wenn du ein System hast für das keine native Versoin (exe, rpm, deb) existiert nimm die .jar (Java Binary, läuft überall)

 

[Viper816]

Belgien hat tatsächlich ein Verteidigungsministerium? Was es nich alles gibt!

Ja und im Gegensatz zum Bundesministerium für Verteidigung haben die sogar Gerät welches zum Grossteil einsatzfähig ist.

Einziges Problem der Belgisch leger: von der Leyen arbeitet ausgerechnet in Brüssel.

 

[Yuuri]

Wenn du geräte hast die vom internet erreichbar sind und Java nutzen solltest du zumindest Prüfen ob die Programme eine alte Log4j Version nutzen

Nein, jegliche Software (egal ob Client oder Server) ist verwundbar. Das Beispiel Minecraft bringst du ja bereits. Wirklich alles ist verwundbar, vom Server, über Client, sogar das Auto (mit "Entertainment"-Gedöns), wenn es Java mit log4j nutzt, wäre verwundbar.

Siehe auch:

Log4j: Khonsari-Ransomware befällt selbst gehostete Minecraft-Server

"In diesen Fällen sendet ein Angreifer eine bösartige In-Game-Nachricht an einen anfälligen Minecraft-Server, der CVE-2021-44228 ausnutzt, um eine vom Angreifer gehostete Nutzlast sowohl auf dem Server als auch auf den verbundenen anfälligen Clients abzurufen und auszuführen", so Microsoft. "Wir haben beobachtet, dass die Ausnutzung zu einer bösartigen Java-Klassendatei führt, bei der es sich um die Khonsari-Ransomware handelt, die dann im Kontext von javaw.exe ausgeführt wird, um das Gerät zu erpressen."

Da die Übersetzung etwas daneben ist...

In these cases, an adversary sends a malicious in-game message to a vulnerable Minecraft server, which exploits CVE-2021-44228 to retrieve and execute an attacker-hosted payload on both the server and on connected vulnerable clients. We observed exploitation leading to a malicious Java class file that is the Khonsari ransomware, which is then executed in the context of javaw.exe to ransom the device.

Heißt auf Deutsch: Dem (gepatcht oder nicht ist egal) Server wird die Payload für die Ransomware "untergeschoben" (= Chat Nachricht gesendet), welchem allerdings nichts passiert, aber auf allen (nicht gepatchten) verbundenen Clients eben jene ausgeführt und alles verschlüsselt wird, weil die Clients ebenso verwundbar sind.

Es betrifft wirklich jede Software mit Java und log4j in entsprechender Version. Egal ob am Internet oder nicht. Online-Ziele angreifen ist natürlich einfacher. Aber nur weil die Software mit Java keine Interaktionen mit dem Netzwerk macht, heißt es nicht, dass man nicht angreifbar ist. Da kann es auch ausreichen, wenn man offline ne entsprechend präparierte Datei öffnet, die vom Programm so verarbeitet wird, dass die Lücke greift.

Heißt einfach: Updates einspielen und drauf hoffen, dass der Hersteller kompetent genug ist.

 

[deo]

Dann sollte es aber auch praktikable Überprüfungen für Endanwender geben.
Oder sollen die so verunsichert werden, dass sie einem "Fake MS-Mitarbeiter" den PC öffnen, damit der sein Unwesen treibt?
Die steigen bestimmt auch noch auf den Zug auf.

 

[nighteeeeey]

nimm die .jar (Java Binary, läuft überall)

funktioniert bei mir leider beides nicht.

 

[AlphaKaninchen]

funktioniert bei mir leider beides nicht.

Hast du überhaupt Java?

java -version

 

[nighteeeeey]

Hast du überhaupt Java?

java version "1.8.0_231"
Java(TM) SE Runtime Environment (build 1.8.0_231-b11)
Java HotSpot(TM) 64-Bit Server VM (build 25.231-b11, mixed mode)

 

[AlphaKaninchen]

Nein, jegliche Software (egal ob Client oder Server) ist verwundbar. Das Beispiel Minecraft bringst du ja bereits. Wirklich alles ist verwundbar, vom Server, über Client, sogar das Auto (mit "Entertainment"-Gedöns), wenn es Java mit log4j nutzt, wäre verwundbar.

Das ist richtig, die gefahr für aus dem internet erreichbare system ist aber am höchsten, beim BSI ist man ja sogar der meinung das Verbraucher nicht betroffen sind (oder hat man das inzwischen korrigiert?)

Ergänzung (21. Dezember 2021)

@NighteeeeeY

java -jar <Pfad zur jar Datei>

 

[nighteeeeey]

java -jar <Pfad zur jar Datei>

[?] Found CVE-2021-4104 (log4j 1.2) vulnerability in c:\ProgramData\Blackmagic Design\DaVinci Resolve\Support\Libraries\Photon.jar, log4j 1.2.17
[?] Found CVE-2021-4104 (log4j 1.2) vulnerability in c:\ProgramData\SAMSUNG\Samsung Link\webapps\cross\webinf\WEB-INF\lib\log4j-1.2.16.jar, log4j 1.2.16

Now what...?

C:\Windows\System32>java -jar C:\Users\PC\Downloads\log4j.jar --scan-log4j1 c:\ --fix
Logpresso CVE-2021-44228 Vulnerability Scanner 2.5.0 (2021-12-21)
This command will remove JndiLookup.class from log4j2-core binaries and remove JMSAppender.class, SocketServer.class, SMTPAppender.class, SMTPAppender$1.class from log4j1-core binaries. Are you sure [y/N]?

ja?