Sicherheitslücke in der Protokollierungsbibliothek Log4j2

Am 09. Dezember 2021 enthüllten Sicherheitsforscher eine kritische, nicht authentifizierte Sicherheitslücke für Remote Code Execution (RCE) in Log4j2, einer beliebten und weit verbreiteten Protokollierungsbibliothek für Java-Anwendungen. Wenn die Schwachstelle ausgenutzt wird, führt sie zur Remote-Code-Ausführung auf dem verwundbaren Server mit Rechten auf Systemebene. Die Schwachstelle (CVE-2021-44228) wird mit einem CVSS Score von 10.0 bewertet und betrifft alle Log4j2 Versionen in unterschiedlichem Maße, wobei einige Versionen (zwischen 2.10 und 2.14.1) die Option haben, die anfällige Funktionalität zu deaktiveren, welche bei der aktuellsten Version 2.15.0 standardmäßig deaktiviert ist.

Jeder, der eine Java-Anwendung verwaltet, die Log4j2 verwendet, sollte nach Möglichkeit sofort auf die aktuellste Version 2.16.0 aktualisieren und/oder sicherstellen, dass JNDI-Lookups deaktiviert sind, indem er das JVM-Flag „log4j2.formatMsgNoLookups“ auf „true“ setzt, um die Schwachstelle zu mildern. JDK-Versionen größer als 6u11, 7u201, 8u191 und 11.0.1 sind beispielsweise nicht vom LDAP-Angriffsvektor (einer von vielen Angriffsvektoren) betroffen, könnten aber dennoch durch das Laden von In-App-Klassen angegriffen werden.

Wenn Sie ein WatchGuard-Kunde sind: die Firebox, der WatchGuard System Manager und Dimension sind davon alle nicht betroffen. Mehrere WatchGuard Cloud-Komponenten, darunter Threat Detection and Response und AuthPoint, führten zwar eine anfällige Version von Log4j2 aus, verwenden jedoch eine Version von JVM, die nicht anfällig für den üblichen LDAP-Angriffsvektor ist. WatchGuard hat diese Komponenten aus Vorsicht bereits aktualisiert und untersucht weiterhin intern nach möglichen zusätzlichen Auswirkungen.
Update 1 (13.12.21): WatchGuard Access Points, WatchGuard EPDR und Panda AD360 sind ebenfalls nicht betroffen.

Update 2 (14.12.21): IPS Signaturen stehen jetzt zur Verfügung mit Version 18.188 (Screenshot aus einer FireboxV). Das Security Portal wird hierzu ebenfalls alsbald die neuen Informationen und die neue Version des IPS zeigen.

Weitere Informationen finden Sie hier:

Leave a Reply

Your email address will not be published. Required fields are marked *