Skip to main content
News

Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage

By 14. Dezember 2021Januar 17th, 2022No Comments

Die letzten Freitag bekannt gewordene Zero-Day-Lücke in der weit verbreiteten Java-Logging-Bibliothek Log4j wurde nachträglich nun auf die höchste Warnstufe Rot hochgestuft.
Angreifer können auf betroffenen Systemen beliebigen Code ausführen lassen sofern keine Maßnahmen dagegen unternommen werden.
Betroffen sind etwa Dienste von Apple, Twitter, Steam, Amazon und auch sehr viele kleinere Angebote, aber auch Produkte von Herstellern wie UniFi, Cisco, VMware, McAfee, ServiceNow und anderen.

Wichtige Sicherheitsupdates sollten immer eingespielt werden, sobald diese zur Verfügung stehen.
Bei vielen Produkten gibt es bereits aktualisierte Versionen betreffend dieser Log4j-Lücke, hier ist rasches Handeln notwendig um keine Ausfälle zu riskieren!

Inoffizielle Liste mit einer Übersicht der bisher bekannten betroffenen Produkte:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Quellen:
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html
https://www.heise.de/news/Roter-Alarm-Log4j-Zero-Day-Luecke-bedroht-Heimanwender-und-Firmen-6292863.html
https://winfuture.de/news,126948.html

So gewinnen Sie Zeit um betroffene Systeme zu patchen!

Nicht immer sind sämtliche Hersteller bekannt, welche diese oder andere Lücken aufweisen.
Noch dazu bietet nicht jeder Hersteller sofort eine Lösung an.

Definieren Sie auf Ihrer Firewall IPS Rules!
IPS Rules verhindern ein Ausnutzen der Schwachstellen, auch wenn die Software selbst noch nicht gepatcht ist.
IPS Sensoren mit Rules welche „high“ und/oder „critical“ Schwachstellen mit dem Zielsystem per Default blocken.

Damit blockt man auch zukünftig entsprechende Schwachstellen, auch wenn sie heute noch nicht bekannt sind.
Alternativ können die Rules für einzelne CVEs (Common Vulnerabilities and Exposures) auch manuell ausgewählt werden.
Dieser Sensor muss auf die Firewall Policies, welche die angreifbaren Systeme im Internet verfügbar macht angewendet werden.
Wichtig, das Ganze funktioniert nur wenn SSL Inspection für diesen Traffic konfiguriert ist (generell sehr zu empfehlen)!

Damit gewinnt man Sicherheit und Zeit, zwischen dem Bekanntwerden und Patchen der Systeme.

Wichtig: IPS-Regeln sind nur so gut, wie ihr Firewall-Hersteller, diese zur Verfügung stellt.
Deswegen sollten Sie sich nicht nur auf die IPS-Regeln verlassen, da es zahlreiche Möglichkeiten gibt, diese Lücke auszunutzen.

Diese Anleitungen wurden von uns bereits in unserer Test- und Produktionsumgebung getestet…

VMware – UAG: Prio. 1

Da diese Appliance im Internet veröffentlicht ist um den Usern das Arbeiten zu ermöglichen, empfehlen wir dies als erstes zu patchen.
Alles was älter ist als die Version 2009 kann auf diesem Weg nicht mehr abgesichert werden!
Empfehlung: Upgrade des UAG auf die aktuelle Version und Einbau des Workarounds:

  • ssh mit root User auf die Appliance verbinden.
  • sed -i ’s/java /java -Dlog4j2.formatMsgNoLookups=true /‘ /opt/vmware/gateway/supervisor/conf/authbroker.ini
  • supervisorctl update
  • ps -ef | grep ab-frontend

Sollte dann: Dlog4j2.formatMsgNoLookups=true anzeigen.

Info vom Hersteller

VMware – Horizon Agent

Auch wenn vRealize nicht verwendet wird, empfehlen wir den Workaround zu implementieren, damit die Lücke nicht zu einem späteren Zeitpunkt ausgenutzt werden kann.
Achtung: nach dem letzten Zeichen vom bestehenden String ist ein Blank einzufügen.

  • HKLM\Software\VMware, Inc.\VMware VDM\Node Manager\JVM\JVMOptions
    -Dlog4j2.formatMsgNoLookups=true

Danach die Devices neu ausrollen.

VMware – Connection Server

Achtung: nach dem letzten Zeichen vom bestehenden String ist ein Blank einzufügen.

  • HKLM\Software\VMware, Inc.\VMware VDM\plugins\wsnm\MessageBusService\Params\JVMOptions
    -Dlog4j2.formatMsgNoLookups=true
  • HKLM\Software\VMware, Inc.\VMware VDM\plugins\wsnm\TomcatService\Params\JVMOptions
    -Dlog4j2.formatMsgNoLookups=true
  • HKLM\Software\VMware, Inc.\VMware VDM\plugins\wsnm\TunnelService\Params\JVMOptions
    -Dlog4j2.formatMsgNoLookups=true

ConnectionServer gehört dann rebootet.
Diese Prozedur ist auf jedem ConnectionServer durchzuführen.

VMware – vCenter

Datei aus Link runter laden: https://kb.vmware.com/sfc/servlet.shepherd/version/download/0685G00000cPbSsQAK

  • ssh mit root auf die Appliance
  • shell
  • vi /tmp/vmsa_log4j.py
  • i

Inhalt vom heruntergeladenen Script mittels Rechtsklick einfügen im ssh Fenster

  • Esc
  • :wq
  • python /tmp/vmsa_log4j.py

Abfrage mit YES bestätigen.

Die Dienste werden anschließend neu gestartet.

VMware – WorkSpace One Connector

  • C:\VMware\VMwareIdentityManager\Connector\opt\vmware\horizon\workspace\bin
  • Suchen nach:
    -Djava.util.logging.config.file=“%TOMCAT_INSTANCE%\conf\logging.properties“ ^
  • Darunter folgendes eintragen:
    -Dlog4j2.formatMsgNoLookups=true ^
  • Speichern.

CMD als Admin ausführen und in unten stehendes Verzeichnis positionieren um folgende Befehle abzusetzen:

  • C:\VMware\VMwareIdentityManager\Connector\usr\local\horizon\scripts
  • horizonService.bat update
  • horizonService.bat restart
Info vom Hersteller

IGEL-UMS

  • Auf den Igel UMS Server mittels RDP verbinden.
  • Dort im Installationspfad (C:\Program Files\IGEL\RemoteManager\rmguiserver\bin) die Datei editTomcatService.bat aufrufen per Doppelklick.
  • In den Java Optionen am Schluss -Dlog4j2.formatMsgNoLookups=true einfügen.

Das Ganze sollte dann so aussehen:

Unter Diensten dann den Dienst “IGEL RMGUIServer“ neu starten.

Info vom Hersteller

Bei weiteren Fragen steht dir Emil gerne zur Verfügung!

Ab zu Emil