News Log4Shell: Sicherheitslücke in log4j für Java hält die IT-Welt in Atem

[MadCat[me]]

Als die ersten Meldungen dazu am Freitag reinkamen, war ich heilfroh, dass wir im Projekt logback und nicht log4j nutzen. Leider schleppt Spring Boot Starter Security es indirekt als Dependency mit, aber die zwei JAR-Dateien liegen dabei nur dumm in der Gegend rum und es lässt sich leicht via Exclusion-Regel in Maven beheben.

Falls übrigens jemand per Firewall-Regeln Egress Traffic für betroffene Server blockieren will: bringt nur eingeschränkt etwas. Zwar lässt sich kein Schad-Code mehr einschleusen, aber man kann immer noch einen DNS-Request auslösen und damit Blödsinn treiben. Es lassen sich z.B. mit dieser Syntax auch Env-Variablen auslesen, die man dann per JNDI in eine Domain packen kann und schon geht der Request raus. Siehe https://twitter.com/andreasdotorg/status/1469969630299107329

Das ganze muss also richtig gefixt werden. Firewall-Regeln alleine bringen nichts und DNS für die Server zu blockieren, bringt andere Probleme mit sich.

 

[AlMaiWin]

Frage an die Profis: Wie weit ist denn der durchschnittliche Anwender oder die durchschnittliche Anwenderin zu Hause von dem Problem betroffen? Kann man da "privat" auch etwas machen, sprich: Irgendwelche Updates einspielen o. ä.? Oder betrifft das Problem eher die Server-Seite?

 

[BorstiNumberOne]

Bei uns heute schon den ganzen Tag Dauerthema und wir sind immer noch dran.

 

[Idon]

Die News bringt einem Laien wie mir nichts.

Was muss ich als konkreter User, der das Internet zum Zocken, Trollen und Pornosschauen nutzt, beachten?

Oder kann mir das alles egal sein, solange ich keine eigenen Server hoste?

 

[uincom]

Unser Kanzleiserver wurde sicher kompromittiert. Muss das mal weiter oben melden.

 

[nospherato]

Die News bringt einem Laien wie mir nichts.

Was muss ich als konkreter User, der das Internet zum Zocken, Trollen und Pornosschauen nutzt, beachten?

Oder kann mir das alles egal sein, solange ich keine eigenen Server hoste?

Ich würde sagen: Einfach weiter schauen ;D
(Aber ja für den Rest von uns ist das echt übel und Stress pur...)

 

[cruse]

Habs heute früh bei heise gelesen und es hat mich direkt an den new world chat bug erinnert.

 

[floh667]

phew. grad mal geschaut ob unsere sonicwall betroffen ist. Aber alle gen6 sonicwall router nutzen log4j nicht.
Aber Leute die eine ubiquiti unifi laufen haben, sollten sich kümmern https://community.ui.com/releases/U...n-6-5-54/d717f241-48bb-4979-8b10-99db36ddabe1

 

[Yumix]

Bei uns im Unternehmen gibt's aktuell auch sehr viel Stress wegen der Lücke da ein Großteil unserer Produkte davon betroffen ist und es nach ersten Analysen auch einige auffällige Aktivitäten gab.

 

[###Zaunpfahl###]

Hab ein tolles tool gefunden. Wie das genau funktioniert ist mir noch nicht ganz klar aber auf alle Fälle hilfreich. (In einem Fall findet er erst etwas in der fat jar)
https://github.com/anchore/grype

Wenn man die executeable hat einfach grype path/to/project/or/jar machen

 

[paokara]

Hallo miteinander

Vielleicht eine doofe Frage, aber sind auch abgeschottete Systeme die nicht direkt aus dem Internet aus erreichbar sind vom diesem Problem betroffen? In diesem Fall müsste die Attacke ja innerhalb des Netzwerks erfolgen oder?

Grüsse

 

[MadCat[me]]

Hallo miteinander

Vielleicht eine doofe Frage, aber sind auch abgeschottete Systeme die nicht direkt aus dem Internet aus erreichbar sind vom diesem Problem betroffen? In diesem Fall müsste die Attacke ja innerhalb des Netzwerks erfolgen oder?

Grüsse

Kommt ganz darauf an, was der Server macht. Sollte er Inhalte verarbeiten, die von außen kommen können und dazu diese mit log4j loggen, wäre er gefährdet.

Falls der Server selbst Internetzugang hat, wäre die Remote Code Execution möglich. Falls Egress Traffic gesperrt ist, aber der Server Zugriff auf DNS ins Internet hat, fällt das Einschleusen von Schad-Code weg, allerdings ist es dann immer noch möglich, via DNS z.B. Secrets, Tokens etc. aus Environment-Variablen zu leaken.

 

[foo_1337]

PoC sind übrigens seit März bekannt:
github[.]com/nice0e3/log4j_POC

Siehe #29

 

[Conqi]

Und wie relevant ist das für den "normalen" Endanwender?
Ich schätzte mal 0.

Kommt halt drauf an, was man so macht. Einer der ersten gezeigten Angriffsvektoren war, dass Leute Code auf einem Minecraft Server ausgeführt haben und andersherum den Server haben Code auf den Client schleusen lassen. Potentiell ist aktuell alles mit Java, das ins Internet geht, gefährlich, weil man nie 100%ig sagen kann, was man da an Daten bekommt.

Mehr als seine Software aktuell halten kann man als Normalo aber kaum tun und das solle ja sowieso Standard sein.

 

[paokara]

Kommt ganz darauf an, was der Server macht. Sollte er Inhalte verarbeiten, die von außen kommen können und dazu diese mit log4j loggen, wäre er gefährdet.

Vielen Dank MadCat für deine Antwort.

Aber müsste in diesem Fall nicht diese "Aussenstelle" kompromitiert sein, damit mein Server eine solche JNDI Anfrage bewusst verarbeitet und anschliessend ausführt?

 

[ComputerJunge]

In diesem Fall müsste die Attacke ja innerhalb des Netzwerks erfolgen oder?

Jo. Aber auch so ein "inneres Netzwerk" kann sehr umfangreich sein. Die Wahrscheinlichkeit ist dadurch aber schon signifikant reduziert. Andererseits, wenn die "Backends" (oder eines) unkontrolliert Internetadressen aufrufen können, wird es gleich wieder richtig unfein.

In meinem aktuellen Projektsystemumfeld gab es nach der Analyse heute eine vorläufige Teilentwarnung (keine unmittelbare Bedrohung).

Die Systeme sind nicht aus öffentlichen Netzen erreichbar, die Serverinfrastruktur darf Kommunikation sowieso nur über freigegebene Routen aufbauen. Abschottungsmaßnahmen auf der Netzwerkebene wurden wohl schon am Freitag durchgeführt (WAF-Konfigs etc, Details kenne ich nicht). ElasticSearch ist nicht im Einsatz. Die Hotfixversion mit 2.15.0 geht vermutlich morgen auf die Produktivumgebung (nach zentraler Freigabe durch CISO bzw. die TaskForce für die einzelnen Systeme und einem kurzen Smoketest).

 

[BeBur]

Was muss ich als konkreter User, der das Internet zum Zocken, Trollen und Pornosschauen nutzt, beachten?

Oder kann mir das alles egal sein, solange ich keine eigenen Server hoste?

Aus Endanwender Sicht kann erstmal jede Software betroffen sein im kritischen Sinne. Jede Software, die "Input" von der weiten Welt akzeptiert, also z.B. E-Mail Programm, Browser, Steam, .... solltest du im Idealfall in einer Welt mit beliebig viel Zeit einmal recherchieren ob bekannt ist, dass sie betroffen ist und ob es bereits einen Patch gibt.

Disclaimer: Natürlich sind nur Applikationen potentiell betroffen die Java verwenden, aber ein normaler Anwender weiß selbstredend nicht, welche das sind bzw. sein könnten.

 

[Mister79]

Kann mal jemand kurz erklären was das ist?

 

[MadCat[me]]

Kommt halt drauf an, was man so macht. Einer der ersten gezeigten Angriffsvektoren war, dass Leute Code auf einem Minecraft Server ausgeführt haben und andersherum den Server haben Code auf den Client schleusen lassen. Potentiell ist aktuell alles mit Java, das ins Internet geht, gefährlich, weil man nie 100%ig sagen kann, was man da an Daten bekommt.

Mehr als seine Software aktuell halten kann man als Normalo aber kaum tun und das solle ja sowieso Standard sein.

So pauschal lässt das nicht sagen. Es kommt stark darauf, welcher Logger eingesetzt wird. log4j 2 ist ja nicht der einzige. Moderne Frameworks wie Spring Boot setzen standardmäßig auf logback. Außerdem hängt es von der Java-Version ab, ob JNDI noch standardmäßig aktiv ist oder nicht.

Der Angriffsvektor ohne JNDI ist selbst bei neueren Java-Versionen möglich, aber etwas schwieriger auszunutzen. Gleiches gilt für die Lücke in log4j 1.x, die nur mit einer bestimmten Konfiguration ausnutzbar ist.

Außerdem hängt's noch davon ab, was man loggt. Sofern nichts im Log landet, was man außen manipulieren kann, ist man sicher. Dennoch sollte man updaten. log4j 2.15 wurde ja auch sehr schnell nach Veröffentlichung der Lücke zur Verfügung gestellt.

Ergänzung (13. Dezember 2021)

Aus Endanwender Sicht kann erstmal jede Software betroffen sein im kritischen Sinne. Jede Software, die "Input" von der weiten Welt akzeptiert, also z.B. E-Mail Programm, Browser, Steam, .... solltest du im Idealfall in einer Welt mit beliebig viel Zeit einmal recherchieren ob bekannt ist, dass sie betroffen ist und ob es bereits einen Patch gibt.

Disclaimer: Natürlich sind nur Applikationen betroffen, die Java verwenden, aber ein normaler Anwender weiß selbstredend nicht, welche das sind bzw. sein könnten.

Welche Mail-Clients oder Browser sind denn in Java geschrieben? Von Steam ganz zu schweigen.

 

[foo_1337]

Welche Mail-Clients oder Browser sind denn in Java geschrieben?

Android Aber das ist mangels JNDI glücklicherweise nicht betroffen.