Sicherheitslücke in der Protokollierungsbibliothek Log4j2
Am 09. Dezember 2021 enthüllten Sicherheitsforscher eine kritische, nicht authentifizierte Sicherheitslücke für Remote Code Execution (RCE) in Log4j2, einer beliebten und weit verbreiteten Protokollierungsbibliothek für Java-Anwendungen. Wenn die Schwachstelle ausgenutzt wird, führt sie zur Remote-Code-Ausführung auf dem verwundbaren Server mit Rechten auf Systemebene. Die Schwachstelle (CVE-2021-44228) wird mit einem CVSS Score von 10.0 bewertet und betrifft alle Log4j2 Versionen in unterschiedlichem Maße, wobei einige Versionen (zwischen 2.10 und 2.14.1) die Option haben, die anfällige Funktionalität zu deaktiveren, welche bei der aktuellsten Version 2.15.0 standardmäßig deaktiviert ist.
Jeder, der eine Java-Anwendung verwaltet, die Log4j2 verwendet, sollte nach Möglichkeit sofort auf die aktuellste Version 2.16.0 aktualisieren und/oder sicherstellen, dass JNDI-Lookups deaktiviert sind, indem er das JVM-Flag „log4j2.formatMsgNoLookups“ auf „true“ setzt, um die Schwachstelle zu mildern. JDK-Versionen größer als 6u11, 7u201, 8u191 und 11.0.1 sind beispielsweise nicht vom LDAP-Angriffsvektor (einer von vielen Angriffsvektoren) betroffen, könnten aber dennoch durch das Laden von In-App-Klassen angegriffen werden.
Wenn Sie ein WatchGuard-Kunde sind: die Firebox, der WatchGuard System Manager und Dimension sind davon alle nicht betroffen. Mehrere WatchGuard Cloud-Komponenten, darunter Threat Detection and Response und AuthPoint, führten zwar eine anfällige Version von Log4j2 aus, verwenden jedoch eine Version von JVM, die nicht anfällig für den üblichen LDAP-Angriffsvektor ist. WatchGuard hat diese Komponenten aus Vorsicht bereits aktualisiert und untersucht weiterhin intern nach möglichen zusätzlichen Auswirkungen.
Update 1 (13.12.21): WatchGuard Access Points, WatchGuard EPDR und Panda AD360 sind ebenfalls nicht betroffen.
Update 2 (14.12.21): IPS Signaturen stehen jetzt zur Verfügung mit Version 18.188 (Screenshot aus einer FireboxV). Das Security Portal wird hierzu ebenfalls alsbald die neuen Informationen und die neue Version des IPS zeigen.
Weitere Informationen finden Sie hier:
- Secplicity-Report von WatchGuard >> Critical RCE Vulnerability in Log4J2
- Knowledge Base Artikel im WatchGuard Support Center >> Log4j2 Remote Code Execution Vulnerability (CVE-2021-44228)
- Bundesamt für Sicherheit in der Informationstechnik (BSI) >> Update: Kritische Schwachstelle in log4j veröffentlicht
- Aktuelle Meldung von heise >> Neue Probleme – Log4j-Patch genügt nicht
Das könnte Sie auch interessieren: