Die letzten Freitag bekannt gewordene Zero-Day-Lücke in der weit verbreiteten Java-Logging-Bibliothek Log4j wurde nachträglich nun auf die höchste Warnstufe Rot hochgestuft.
Angreifer können auf betroffenen Systemen beliebigen Code ausführen lassen, sofern keine Maßnahmen dagegen unternommen werden.
Betroffen sind etwa Dienste von Apple, Twitter, Steam, Amazon und auch sehr viele kleinere Angebote, aber auch Produkte von Herstellern wie UniFi, Cisco, VMware, McAfee, ServiceNow und anderen.
Wichtige Sicherheitsupdates sollten immer eingespielt werden, sobald diese zur Verfügung stehen.
Bei vielen Produkten gibt es bereits aktualisierte Versionen betreffend dieser Log4j-Lücke, hier ist rasches Handeln notwendig, um keine Ausfälle zu riskieren!
Inoffizielle Liste mit einer Übersicht der bisher bekannten betroffenen Produkte:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Quellen:
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html
https://www.heise.de/news/Roter-Alarm-Log4j-Zero-Day-Luecke-bedroht-Heimanwender-und-Firmen-6292863.html
https://winfuture.de/news,126948.html
So gewinnen Sie Zeit, um betroffene Systeme zu patchen!
Nicht immer sind sämtliche Hersteller bekannt, welche diese oder andere Lücken aufweisen.
Noch dazu bietet nicht jeder Hersteller sofort eine Lösung an.
Definieren Sie auf Ihrer Firewall IPS Rules!
IPS Rules verhindern ein Ausnutzen der Schwachstellen, auch wenn die Software selbst noch nicht gepatcht ist.
IPS-Sensoren verfügen über Rules, welche „high“ und/oder „critical“ Schwachstellen mit dem Zielsystem per Default blocken.
Damit blockt man auch zukünftig entsprechende Schwachstellen, auch wenn sie heute noch nicht bekannt sind.
Alternativ können die Rules für einzelne CVEs (Common Vulnerabilities and Exposures) auch manuell ausgewählt werden.
Dieser Sensor muss auf die Firewall Policies, welche die angreifbaren Systeme im Internet verfügbar macht, angewendet werden.
Wichtig, das Ganze funktioniert nur, wenn SSL Inspection für diesen Traffic konfiguriert ist (generell sehr zu empfehlen)!
Damit gewinnt man Sicherheit und Zeit zwischen dem Bekanntwerden und Patchen der Systeme.
Wichtig: IPS-Regeln sind nur so gut, wie ihr Firewall-Hersteller diese zur Verfügung stellt.
Deswegen sollten Sie sich nicht nur auf die IPS-Regeln verlassen, da es zahlreiche Möglichkeiten gibt, diese Lücke auszunutzen.
Diese Anleitungen wurden von uns bereits in unserer Test- und Produktionsumgebung getestet…
VMware – UAG: Prio. 1
Da diese Appliance im Internet veröffentlicht ist, um den Usern das Arbeiten zu ermöglichen, empfehlen wir dies als erstes zu patchen.
Alles, was älter ist als die Version 2009, kann auf diesem Weg nicht mehr abgesichert werden!
Empfehlung: Upgrade des UAG auf die aktuelle Version und Einbau des Workarounds:
- ssh mit root User auf die Appliance verbinden.
- sed -i ’s/java /java -Dlog4j2.formatMsgNoLookups=true /‘ /opt/vmware/gateway/supervisor/conf/authbroker.ini
- supervisorctl update
- ps -ef | grep ab-frontend
Sollte dann: Dlog4j2.formatMsgNoLookups=true anzeigen.
VMware – Horizon Agent
Auch, wenn vRealize nicht verwendet wird, empfehlen wir den Workaround zu implementieren, damit die Lücke nicht zu einem späteren Zeitpunkt ausgenutzt werden kann.
Achtung: nach dem letzten Zeichen vom bestehenden String ist ein Blank einzufügen.
- HKLM\Software\VMware, Inc.\VMware VDM\Node Manager\JVM\JVMOptions
-Dlog4j2.formatMsgNoLookups=true
Danach die Devices neu ausrollen.
VMware – Connection Server
Achtung: nach dem letzten Zeichen vom bestehenden String ist ein Blank einzufügen.
- HKLM\Software\VMware, Inc.\VMware VDM\plugins\wsnm\MessageBusService\Params\JVMOptions
-Dlog4j2.formatMsgNoLookups=true - HKLM\Software\VMware, Inc.\VMware VDM\plugins\wsnm\TomcatService\Params\JVMOptions
-Dlog4j2.formatMsgNoLookups=true - HKLM\Software\VMware, Inc.\VMware VDM\plugins\wsnm\TunnelService\Params\JVMOptions
-Dlog4j2.formatMsgNoLookups=true
ConnectionServer gehört dann rebootet.
Diese Prozedur ist auf jedem ConnectionServer durchzuführen.
VMware – vCenter
Datei aus Link runter laden: https://kb.vmware.com/sfc/servlet.shepherd/version/download/0685G00000cPbSsQAK
- ssh mit root auf die Appliance
- shell
- vi /tmp/vmsa_log4j.py
- i
Inhalt vom heruntergeladenen Script mittels Rechtsklick einfügen im ssh Fenster
- Esc
- :wq
- python /tmp/vmsa_log4j.py
Abfrage mit YES bestätigen.
Die Dienste werden anschließend neu gestartet.
VMware – WorkSpace One Connector
- C:\VMware\VMwareIdentityManager\Connector\opt\vmware\horizon\workspace\bin
- Suchen nach:
-Djava.util.logging.config.file=“%TOMCAT_INSTANCE%\conf\logging.properties“ ^ - Darunter folgendes eintragen:
-Dlog4j2.formatMsgNoLookups=true ^ - Speichern.
CMD als Admin ausführen und in unten stehendes Verzeichnis positionieren um folgende Befehle abzusetzen:
- C:\VMware\VMwareIdentityManager\Connector\usr\local\horizon\scripts
- horizonService.bat update
- horizonService.bat restart
IGEL-UMS
- Auf den Igel UMS Server mittels RDP verbinden.
- Dort im Installationspfad (C:\Program Files\IGEL\RemoteManager\rmguiserver\bin) die Datei editTomcatService.bat aufrufen per Doppelklick.
- In den Java Optionen am Schluss -Dlog4j2.formatMsgNoLookups=true einfügen.
Das Ganze sollte dann so aussehen:
Unter Diensten dann den Dienst “IGEL RMGUIServer“ neu starten.
