{"id":451,"date":"2021-12-15T12:01:18","date_gmt":"2021-12-15T11:01:18","guid":{"rendered":"https:\/\/smartersec.com\/?p=451"},"modified":"2021-12-16T09:50:46","modified_gmt":"2021-12-16T08:50:46","slug":"kritische-schwachstelle-in-log4j","status":"publish","type":"post","link":"https:\/\/smartersec.com\/de\/kritische-schwachstelle-in-log4j\/","title":{"rendered":"Kritische Schwachstelle in log4j"},"content":{"rendered":"\n<div class=\"wp-block-group\"><div class=\"wp-block-group__inner-container is-layout-flow wp-block-group-is-layout-flow\">\n<h1 class=\"wp-block-heading\">CVE-2021-44228 \u2013 log4shell <\/h1>\n\n\n\n<p><strong>(Updated: 16.12.2021)<\/strong><\/p>\n\n\n\n<p>Die Open-Source Java-Bibliothek log4j stellt allgemeine Dienste zum Erzeugen und Verwalten von Anwendungslogs bereit und ist als Teil von Apache Software Foundation sehr weit verbreitet (<a href=\"https:\/\/logging.apache.org\/\">https:\/\/logging.apache.org\/<\/a>).<\/p>\n\n\n\n<p>Die unter dem Namen \u201elog4shell\u201c bekannt gewordene Schwachstelle erlaubt eine Remote Code Execution (RCE), also das Nachladen und Ausf\u00fchren von Quellcode. Das Ausnutzen der Schwachstelle ist vergleichsweise einfach und kann erreicht werden, indem Angreifer Ihre Eingaben um technische Kommandos erg\u00e4nzen, die dann ins Log geschrieben und dort interpretiert werden.<\/p>\n\n\n\n<p>Die unter der offiziellen Kennzeichnung CVE-2021-44228 <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-44228\">[1]<\/a> gef\u00fchrte Schwachstelle wurde mit einem CVSS Base Score von 10.0 bewertet, was die h\u00f6chste Bewertung darstellt. Auch das BSI teilt diese Einsch\u00e4tzung und hat die IT-Bedrohungslage auf 4\/rot ge\u00e4ndert: <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Cybersicherheitswarnungen\/DE\/2021\/2021-549177-1032.pdf?__blob=publicationFile&amp;v=2\">[2]<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><\/h2>\n\n\n\n<h2 class=\"wp-block-heading\">Allgemeine Anmerkungen zur Mitigation<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li>Die abschlie\u00dfende Korrektur zum Schlie\u00dfen der Sicherheitsl\u00fccke erfordert ein Update der log4j-Bibliothek auf die Version 2.16.0. Erg\u00e4nzung: nachdem zun\u00e4chst das Upgrade auf log4j 2.15.0 empfohlen wurde, hat sich dieser Fix als unzureichend herausgestellt und musste nochmal erweitert werden.<\/li><li>Diesen Wechsel der Bibliothek kann man typischerweise nur dann vornehmen, wenn es sich um kundeneigene L\u00f6sungen handelt. Bei Standardsoftware (oder Add-Ons zu dieser) muss der Patch durch den Hersteller erfolgen.<\/li><li>Als alternative Mitigation sieht Apache seit\u00a0dem 15.12.2021\u00a0das\u00a0Entfernen der betroffenen Klasse\u00a0JndiLookup.class\u00a0aus dem\u00a0log4j.jar-Archiv vor.\u00a0Auf der log4j-Security Homepage\u00a0<a href=\"https:\/\/logging.apache.org\/log4j\/2.x\/security.html#CVE-2021-44228\" target=\"_blank\" rel=\"noreferrer noopener\">[3]<\/a>\u00a0sind entsprechende Anweisungen beschrieben, die jedoch auf die eigene Anwendung angepasst werden m\u00fcssen.\u00a0<strong>Achtung:\u00a0<\/strong>diese Ma\u00dfnahme erfordert einen entsprechenden Test, da die\u00a0Logging-Funktionalit\u00e4t dadurch ver\u00e4ndert wird.\u00a0<\/li><li>Die zuvor beschriebene\u00a0Mitigation durch\u00a0das\u00a0Setzen von Programm-Parametern (\u2010Dlog4j2.formatMsgNoLookups=True) oder System Umgebungsvariablen (LOG4J_FORMAT_MSG_NO_LOOKUPS=True)\u00a0wird nun als \u201ediscredited\u201c gef\u00fchrt, d.h. der Angriffsvektor wird zwar verkleinert, aber nicht vollst\u00e4ndig geschlossen.\u00a0<\/li><li>Das BSI liefert hier mehr Details in einem Advisory.\u00a0<a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Cyber-Sicherheit\/Vorfaelle\/log4j-Schwachstelle-2021\/log4j_Schwachstelle_Detektion_Reaktion.pdf?__blob=publicationFile&amp;v=2\" target=\"_blank\" rel=\"noreferrer noopener\">[4]<\/a>\u00a0\u00a0<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><\/h2>\n\n\n\n<h2 class=\"wp-block-heading\">Kontext SAP-Anwendungen<\/h2>\n\n\n\n<p>Die bisher bekannten\u00a0SAP-Hinweise\u00a0kann man hier einsehen\u00a0<a href=\"https:\/\/gist.github.com\/SwitHak\/b66db3a06c2955a9cb71a8718970c592#gistcomment-3994039\" target=\"_blank\" rel=\"noreferrer noopener\">[5]<\/a>.\u00a0Alternativ k\u00f6nnen auch \u00fcber den SAP-Service Marktplatz gesucht und heruntergeladen werden. Der Screenshot zeigt eine \u00dcbersicht der Hinweise mit Stand 14.12.2021.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img decoding=\"async\" src=\"https:\/\/smartersec.com\/wp-content\/uploads\/2021\/12\/screenshot-1024x428.jpg\" alt=\"\" class=\"wp-image-452\" width=\"840\" height=\"351\" srcset=\"https:\/\/smartersec.com\/wp-content\/uploads\/2021\/12\/screenshot-1024x428.jpg 1024w, https:\/\/smartersec.com\/wp-content\/uploads\/2021\/12\/screenshot-300x125.jpg 300w, https:\/\/smartersec.com\/wp-content\/uploads\/2021\/12\/screenshot-768x321.jpg 768w, https:\/\/smartersec.com\/wp-content\/uploads\/2021\/12\/screenshot.jpg 1326w\" sizes=\"(max-width: 840px) 100vw, 840px\" \/><\/figure>\n\n\n\n<ul class=\"wp-block-list\"><li>Wir empfehlen s\u00e4mtliche Hinweise aus o.g. Quelle zu analysieren und auf Einspielbarkeit zu pr\u00fcfen. <strong>Einspielbare Korrekturen sollten dringend implementiert werden<\/strong> (gem\u00e4\u00df des beim Kunden g\u00fcltigen HotFix\/Notfall-Transport Prozesses)<strong>.<\/strong><\/li><li>Zus\u00e4tzlich sollten in den n\u00e4chsten Tagen die neuen Hinweise der SAP auf weitere Korrekturen gegen log4shell regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden.<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><\/h2>\n\n\n\n<h2 class=\"wp-block-heading\">Im Kontext von SAP Add-Ons<\/h2>\n\n\n\n<p>Sollte ein betroffenes Release der log4j-Bibliothek im Add-On verwendet werden, kann diese normalerweise nicht direkt vom Endanwender ausgetauscht werden. Analog zur SAP haben bereits viele Add-On Hersteller entsprechende Patches bereitgestellt (oder werden dies kurzfristig tun).<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Wir empfehlen dringend, vom Hersteller bereitgestellte Korrekturen sofort einzuspielen<\/strong>.<\/li><li>Wie oben beschrieben kann \u2013 bis ein Patch ausgeliefert ist \u2013 die kritische Funktionalit\u00e4t aus dem log4j \u00fcber Konfiguration deaktiviert werden. Da dies jedoch den Funktionsumfang des Logs ver\u00e4ndert, empfehlen wir dies erst nach R\u00fccksprache oder auf ein entsprechendes Advisory\/Empfehlung des Herstellers durchzuf\u00fchren.<\/li><li>Falls eine solche Empfehlung des Herstellers noch nicht verf\u00fcgbar ist, empfehlen wir eine entsprechende Kundenmeldung \/ Support Ticket anzulegen und den Status des Add-On bzgl. der log4shell Schwachstelle zu erfragen.<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><\/h2>\n\n\n\n<h2 class=\"wp-block-heading\">Referenzen<\/h2>\n\n\n\n<p>[1] Mitre: CVE-2021-44228 <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-44228\">https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-44228<\/a><\/p>\n\n\n\n<p>[2] BSI: Kritische &#8222;Log4Shell&#8220; Schwachstelle in weit verbreiteter Protokollierungsbibliothek Log4j (CVE-2021-44228) <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Cybersicherheitswarnungen\/DE\/2021\/2021-549177-1032.pdf?__blob=publicationFile&amp;v=2\">https:\/\/www.bsi.bund.de\/SharedDocs\/Cybersicherheitswarnungen\/DE\/2021\/2021-549177-1032.pdf?__blob=publicationFile&amp;v=2<\/a><\/p>\n\n\n\n<p>[3] Apache:&nbsp;log4j Security page&nbsp;<a href=\"https:\/\/logging.apache.org\/log4j\/2.x\/security.html#CVE-2021-44228\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/logging.apache.org\/log4j\/2.x\/security.html#CVE-2021-44228<\/a>&nbsp;&nbsp;<\/p>\n\n\n\n<p>[4] BSI: Kritische Schwachstelle in Log4j CVE-2021-44228 Arbeitspapier Detektion und Reaktion <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Cyber-Sicherheit\/Vorfaelle\/log4j-Schwachstelle-2021\/log4j_Schwachstelle_Detektion_Reaktion.pdf?__blob=publicationFile&amp;v=2\">https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Cyber-Sicherheit\/Vorfaelle\/log4j-Schwachstelle-2021\/log4j_Schwachstelle_Detektion_Reaktion.pdf?__blob=publicationFile&amp;v=2<\/a><\/p>\n\n\n\n<p>[5] \u00dcbersicht betroffener Hersteller und Anwendungen, Liste der SAP Hinweise <a href=\"https:\/\/gist.github.com\/SwitHak\/b66db3a06c2955a9cb71a8718970c592#gistcomment-3994039\">https:\/\/gist.github.com\/SwitHak\/b66db3a06c2955a9cb71a8718970c592#gistcomment-3994039<\/a> <\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Sollten Sie Fragen haben, stehen wir Ihnen jederzeit gerne f\u00fcr einen Austausch zur Verf\u00fcgung!<\/h3>\n<\/div><\/div>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die unter der offiziellen Kennzeichnung CVE-2021-44228<br \/>\ngef\u00fchrte Schwachstelle wurde mit einem CVSS Base Score von 10.0 bewertet, was die h\u00f6chste Bewertung darstellt. Auch das BSI teilt diese Einsch\u00e4tzung und hat die IT-Bedrohungslage auf 4\/rot ge\u00e4ndert.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-451","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"aioseo_notices":[],"acf":[],"_links":{"self":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/451","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/comments?post=451"}],"version-history":[{"count":10,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/451\/revisions"}],"predecessor-version":[{"id":479,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/451\/revisions\/479"}],"wp:attachment":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/media?parent=451"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/categories?post=451"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/tags?post=451"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}