Die Schwachstelle kann Hacker:innen die Möglichkeit geben, die Kontrolle über jeden Java-basierten, internetfähigen Server zu übernehmen und RCE-Angriffe (Remote Code Execution) durchzuführen. Dennoch sollten auch die internen Server, die von der Sicherheitslücke betroffen sein könnten, berücksichtigt werden.

CVE-2021-44228 im Detail: „Ein Angreifer, der die Kontrolle über Protokollnachrichten oder Protokollnachrichtenparameter hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachschlageersetzung für Nachrichten aktiviert ist.“

Die Auswirkungen dieser Sicherheitslücke werden voraussichtlich sehr weitreichend sein, das gesamte Ausmaß kann laut BSI aktuell noch nicht beziffert werden. Es gibt bereits Berichte, wonach Hacker:innen aktiv das Internet durchsuchen, um Server zu identifizieren, die für eine Ausnutzung anfällig sind.

Empfehlungen.

  • Aktualisieren Sie auf Apache >= log4j-2.15, da alle früheren 2.x-Versionen anfällig sind.
  • Blockieren Sie bei Log4j Version 2.10.0 oder später JNDI-Anfragen an nicht vertrauenswürdige Server, indem Sie den Konfigurationswert log4j2.formatMsgNoLookups auf "TRUE" setzen, um LDAP- und andere Abfragen zu verhindern.
  • Setzen Sie sowohl com.sun.jndi.rmi.object.trustURLCodebase als auch com.sun.jndi.cosnaming.object.trustURLCodebase auf "FALSE", um Angriffe zur Remote-Code-Ausführung in Java 8u121 zu verhindern.
  • Installation Hersteller-Patch (sofern vorhanden).
  • Implementierung der Hersteller-Workarounds als Übergangslösung (sofern vorhanden).
  • Sofern keine Lösung vorhanden ist, fahren Sie das System runter oder limitieren Sie den Zugriff.

Update vom 15.12.2021:

Die bisher bekannten Folgen bei der Ausnutzung der Log4j-Schwachstellen sind die Kompromittierung mit Kryptominern, Botnetzen, Cobalt Strike oder ähnlichen Verfahren, die von Cyberkriminellen eingesetzt werden. So können Informationen von einem Unternehmen abfließen oder sogenannte „Schläfer“ in das Unternehmensnetzwerk eingeschleust werden, die zu einem späteren Zeitpunkt aktiv werden. Wenn die Log4j-Schwachstelle des betroffenen internetfähigen Dienstes nachweislich ausgenutzt wurde, müssen weitere Maßnahmen ergriffen werden, um die Risiken von Folgeschäden zu minimieren.

Empfehlungen, wenn Exploit nachgewiesen wurde.

  • Wiederherstellung auf einen Zeitpunkt vor der Ausnutzung der Schwachstelle des betroffenen Services (eventuell auch: Frontend- und Backend-System) und Installation des Patches für die Schwachstelle bzw. Neuinstallation aus einer neuen sauberen Quelle des betroffenen Services (eventuell auch: Frontend- und Backend-System) und Installation des Patches für die Schwachstelle.
  • Austausch der API Keys von Cloud-Services.
  • Überprüfung der Netzwerkkommunikation auf ungewöhnlichen Traffic.
  • Überprüfung auf mögliches Lateral Movement in der IKT-Landschaft (Threat Hunting).

Wenden Sie sich bei Fragen gerne an Ihre Bechtle Ansprechperson oder an it-security@bechtle.com.

Die Liste der betroffenen Hersteller-Produkte wird ständig aktualisiert. Folgende Quellen geben einen Überblick: