News Log4j: Angriff auf belgisches Verteidigungsministerium

[AlphaKaninchen]

Now what...?


ja?

Löschen oder aktualisieren

--fix
    Backup original file and remove JndiLookup.class from JAR recursively.
    With --scan-log4j1 option, it also removes JMSAppender.class, SocketServer.class, SMTPAppender.class, SMTPAppender$1.class

 

[Endless Storm]

Bei uns auf der Arbeit wurden noch am Samstag erste Lücken geschlossen. Am Montag, noch vor dem Mittag, waren dann alle produktiven Systeme auf 2.16.0. Mittlerweile sind sogar die internen Systeme alle auf die aktuellste 2.17.0.

Echt widerlich, was da schamlos ausgenutzt wird.

 

[Web-Schecki]

Da kann es auch ausreichen, wenn man offline ne entsprechend präparierte Datei öffnet, die vom Programm so verarbeitet wird, dass die Lücke greift.

Grundsätzlich ja, da kann man womöglich Dinge tun, für die man eigentlich keine Berechtigung hat. Aber:

Egal ob am Internet oder nicht.

Das sehe ich anders. Es macht einen riesigen Unterschied, ob man den Schadcode per JNDI aus dem Internet oder nur von der lokalen Festplatte laden kann. Der Schadcode muss dann nämlich erstmal dort hinkommen, was bei einem Offline-System eine grundsätzliche Hürde darstellt.

Ja, man darf ein Offline-System keinesfalls als "sicher" bezeichnen, da jemand mit eingeschränktem Zugriff (womöglich bewusst, oder grob fahrlässig) Schadcode ausführen könnte. Das ist aber ein vollkommen anderes Szenario als bei Online-Systemen. Dort kann der Schadcode beliebig heruntergeladen werden und in den schlimmen Fällen (offene Serverdienste, die eingehende Anfragen loggen) kann das durch jeden Internetnutzer mit einer präparierten Anfrage ausgelöst werden. Ersteres ist eher ein mittelschweres Problem, letzteres eine Totalkatastrophe biblischen Ausmaßes.

 

[nighteeeeey]

Löschen oder aktualisieren

Die Programme? Oder die Dateien? Funktionieren die Programme ohne die Dateien dann nicht mehr? Oder könnte es sein dass sie trotzdem funktionieren? Bin ich schon in "Gefahr" wenn ich die Programme zum updaten öffne? Oder auf jeden Fall über den Deinstaller deinstallieren?

 

[AlphaKaninchen]

Die Programme? Oder die Dateien? Funktionieren die Programme ohne die Dateien dann nicht mehr? Oder könnte es sein dass sie trotzdem funktionieren? Bin ich schon in "Gefahr" wenn ich die Programme zum updaten öffne? Oder auf jeden Fall über den Deinstaller deinstallieren?

Ja die Programme, du kannst aber auch das Script nur die fraglichen stellen in Log4j löschen lassen (mit --fix), Wenn du nur die Dateien normal löschst gehen die Programme wahrscheinlich nicht mehr.
Ab wann du in Gefahr bist hängt vom Programm ab.

 

[nighteeeeey]

Danke.

 

[Tada100]

Ja da war doch etwas mit Textnachrichten in Minecraft...
Erstmal das System mit ([cmd]log4j2-scan --all-drives --scan-log4j1 --scan-logback --scan-zip --fix) scannen
- kann sich ja nur um minuten handeln ...

 

[DonConto]

Das sehe ich anders.

Und das könnte ein Problem sein, denn es wiegt dich in falscher Sicherheit. Falls (!) du ein System hast, das von extern kompromittiert werden kann, dann steigt auch die Wahrscheinlichkeit, dass deine internen Systeme eben über dieses extern erreichbare System angegriffen werden könnten. Es ist also fatal zu denken, dass man nur extern erreichbare Systeme absichern muss und man sich mit den internen Systemen Zeit lassen kann weil die Gefahr wenig bis nicht vorhanden ist - was eben eine falsche Annahme ist. Also patchen, alles was geht. Was ja leider in vielerlei Fällen nicht so einfach und schnell geht weil die Hersteller verkacken. Und das macht es leider erst richtig schlimm.

 

[Web-Schecki]

Und das könnte ein Problem sein, denn es wiegt dich in falscher Sicherheit.

Nichts für ungut, aber ich glaube, du solltest meinen Beitrag nochmal genau lesen...

 

[Chaiiin]

Wirkt sich sogar auf den Betrieb bei uns am Flughafen aus. Kein Live Feed mehr für die Airport Community App. Wohl sicherheitshalber vom Netz genommen.

 

[9Strike]

Und deswegen liebe Kinder, sind shared Libraries der einzige vernünftige Weg externe Bibliotheken zu verwenden. Das wusste man zwar schon vor 20 Jahren, aber jetzt lernt es vllt auch der Rest, der Bundling für die Lösung aller Dependency-Problem hält.

 

[ModellbahnerTT]

Erschreckend das nicht mal das Verteidigungsministerium das wissen und die manpower zu haben scheint sowas zu verhindern.

 

[polloze]

Danke für den Artikel. So bin ich auch über das Tool unter den Antworten hier gestoßen. Zwei Programme, die von der Lücke betroffen sind. Beide selten bis gar nicht in Benutzung. Daher werde ich die erst mal deinstallieren.

 

[DonConto]

Nichts für ungut, aber ich glaube, du solltest meinen Beitrag nochmal genau lesen...

Nichts für ungut, aber, nein :-)

 

[luckyfreddy]

Dass so lange nach Bekanntwerden der Lücke noch staatliche Stellen ungesichert sind ist aber mal ein absolutes Armutszeugnis. Dass Firmen teilweise von absoluten Amateuren betreurt werden ist ja nichts neues, genau wie bei kleinen Behörden. Von einem Verteidigungsministerium oder Bundesfinanzhof würde ich aber schon die sehr niedrig gesetzte Anspruchshaltung haben, dass kritische, aktiv ausgenutzte CVEs nach über einer Woche gepatcht sind...

Ist es nicht, denn diese Lücke ist leider alles andere als Trivial. Die verwendeten Bibliotheken können in diverser Software enthalten sein und kann oftmals vom Administrator gar nicht selbst ausgetauscht, sondern allenfalls eine ganze Anwendung gestoppt werden. Meist ist man auf den Hersteller angewiesen, da diese in Ihren Anwendungen auf solche Bibliotheken zurückgreifen. Dabei kann es durchaus mehrere Anwendungen pro Server geben, die davon betroffen sind. Selbst bei Anwendungssoftware findet sich vereinzelt solche Software, wobei diese i.d.R. weniger im Fokus von Angreifern liegen dürfte.

Ganz gefährlich dürften vielleicht auch Router, WLAN-Geräte, IP-Telefone, etc. sein - nicht selten kommt dort auch Java zum Einsatz... und wehe, wenn der Hersteller keine Updates bereitstellt.

Ist also leider eine sehr komplexe Geschichte.

Ergänzung (21. Dezember 2021)

Hast du überhaupt Java?

java -version

Leider ist diese Abfrage alleine noch nicht aussagekräftig. Manche Anwendung bringt eine Java-Runtimeumgebung bereits mit, packt diese aber nicht in die Pfad-Variablen. Somit kann es durchaus auch sein, dass die java.exe sich in irgendeinem Unterordner einer Anwendung befindet und somit dort auch dann möglicherweise gefährdete Software zu finden ist, wenn in der Konsole bei "java --version" die Meldung erscheint, dass der Befehl oder der Dateiname nicht gefunden wurde.

 

[22428216]

Wenn ich mir log4j2-scan .e xe runterlade und starte, passiert nichts.
nur der defender hat einmal gemeckert. aber auch danach passiert nichts.

habe erstmal java runtergeschmissen und neu installiert.

Ich bin jetzt nicht ganz auf den Kopf gefallen, aber aktuell weiss ich nicht so recht, was ich machen kann und vor allem wie?!

 

[s1ave77]

aber auch danach passiert nichts.

Die Beschreibung auf Github hilft, ist ein Kommandozeilentool und wird über CMD gestartet .

 

[C4rp3di3m]

Gibts kein Gui Tool, cmd keine Böcke ...

mfg

 

[Piktogramm]

Ist also leider eine sehr komplexe Geschichte.

Eigentlich nicht, am 10.12 war zu lesen was das für Schwachstelle ist, und jedem der halbwegs was von IT versteht war an der Stelle klar, dass der Scheiß eskalieren wird. Die ersten mir bekannten, globalen Angriffe schlugen 14:15UTC auf.
Wer am 10.12 nicht angefangen hat alles mit der Axt zu bearbeiten was nach Java bzw. log4j aussah (edit: und bis Anfang 11.12 nicht fertig wurde) war danach ein Fall für die Forensik, da die Systeme sicher infiziert waren.

 

[Tada100]

@22428216 @C4rp3di3m

das System mit ("cmd" log4j2-scan --all-drives --scan-log4j1 --scan-logback --scan-zip --fix) scannen

Die Commandozeile mit Adminrechten öffnen in den Pfad der Datei log4j2-scan wechseln,
das in der Klammer() ohne "cmd" einfügen und enter drücken...
So schwer ist das nicht, vorrausgesetzt die Syntax stimmt.