Scanner Log4J
Hallo zusammen,
Log4J ist ja mittlerweile schon ein paar Tage her aber immer noch aktuell.
Ich bin aktuell auf der Suche nach einem Scanner der die Log4J-Lücke erkennt und mit dem ich große Netze >4000 mögliche IPs scannen kann.
Bisher haben wir immer OpenVAS von Greenbone eingesetzt wenn es um dedizierte Lücken bei einzelnen Systemen oder kleineren netzen (/20 oder kleiner) geht, aber OpenVAS hat eine Limitierung von 4000 IPs. Hab auch in den Foren nichts gefunden wie oder ob man das umgehen kann.
Daher meine Frage, habt ihr einen Scanner, der große Netzwerke (>1000 Standorte) zuverlässig Scannen kann und ggf. der auch noch OpenSource ist?
Grüße und Danke schon mal für eure Hilfe
Log4J ist ja mittlerweile schon ein paar Tage her aber immer noch aktuell.
Ich bin aktuell auf der Suche nach einem Scanner der die Log4J-Lücke erkennt und mit dem ich große Netze >4000 mögliche IPs scannen kann.
Bisher haben wir immer OpenVAS von Greenbone eingesetzt wenn es um dedizierte Lücken bei einzelnen Systemen oder kleineren netzen (/20 oder kleiner) geht, aber OpenVAS hat eine Limitierung von 4000 IPs. Hab auch in den Foren nichts gefunden wie oder ob man das umgehen kann.
Daher meine Frage, habt ihr einen Scanner, der große Netzwerke (>1000 Standorte) zuverlässig Scannen kann und ggf. der auch noch OpenSource ist?
Grüße und Danke schon mal für eure Hilfe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1731694633
Url: https://administrator.de/forum/scanner-log4j-1731694633.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
15 Kommentare
Neuester Kommentar
Sowas gibt es nicht, da es nicht "die" Log4J Lücke gibt.
Es sind jeweils verschiedene Apps die unter der Haube die Log4j lib nutzen, aber von aussen ist nicht immer erkennbar ob die nun "verwundbar" sind.
Es gibt Projekte die "mal ein paar felder mit dem berühmten ldap string füllen" wie z.B.
https://github.com/giterlizzi/nmap-log4shell
und dann schauen ob was zurückkommt
Aber ob das nun generell alle Dienste findet die Log4j nutzt? Eher nicht, denn bereits "populäre" Apps wie z.B. VSphere ist nicht ganz so trivial:
https://www.sprocketsecurity.com/blog/how-to-exploit-log4j-vulnerabiliti ...
Und wann man noch wenig erforsche Apps hat, dann hilft einem eine "automatik" nicht weiter, da muss man selbst etwas rumhacken und schauen wie die App reagiert
Daher ist der Ansatz mit einem Vulnerability Manager wie Greenbone schon richtig, aber auch der finden eben nur das was in der DB ist
Es sind jeweils verschiedene Apps die unter der Haube die Log4j lib nutzen, aber von aussen ist nicht immer erkennbar ob die nun "verwundbar" sind.
Es gibt Projekte die "mal ein paar felder mit dem berühmten ldap string füllen" wie z.B.
https://github.com/giterlizzi/nmap-log4shell
und dann schauen ob was zurückkommt
Aber ob das nun generell alle Dienste findet die Log4j nutzt? Eher nicht, denn bereits "populäre" Apps wie z.B. VSphere ist nicht ganz so trivial:
https://www.sprocketsecurity.com/blog/how-to-exploit-log4j-vulnerabiliti ...
Und wann man noch wenig erforsche Apps hat, dann hilft einem eine "automatik" nicht weiter, da muss man selbst etwas rumhacken und schauen wie die App reagiert
Daher ist der Ansatz mit einem Vulnerability Manager wie Greenbone schon richtig, aber auch der finden eben nur das was in der DB ist
Wie immer ist hier der Klassiker nmap dein bester Freund. Solltest du als Netzwerk Admin aber eigentlich auch kennen !!
Das wird sinnvollerweise dateibasiert und nicht dienstbasiert gescannt. Insofern gibt es reichlich Alternativen, die sich aber in der Gründlichkeit und Arbeitsaufwand unterscheiden.
Wenn ihr Software sauber inventarisiert, steht dort ja schon fast alles drin, was man prüfen muss. Wildwuchs lässt sich mit einfachen Skripten zumindest grob erfassen. Um wirklich zuverlässig solche Libraries aufzuspüren, kann man IR-Tools wie Google Rapid Response verwenden.
Grüße
Richard
Wenn ihr Software sauber inventarisiert, steht dort ja schon fast alles drin, was man prüfen muss. Wildwuchs lässt sich mit einfachen Skripten zumindest grob erfassen. Um wirklich zuverlässig solche Libraries aufzuspüren, kann man IR-Tools wie Google Rapid Response verwenden.
Grüße
Richard
Wie sind die Netze und die Prozesse, die dort IP-Ports öffnen aufgebaut? Laufen dort woüberall die gleichen Dienste? Weisst Du, welche Dienste dort laufen sollten? Welche Ports sollen gescannt werden? Alle? (bei 4000 IPs und 65535 Ports kann das dauern...)
Du kannst es sowohl von Außen als Pseudo-Angriff versuchen ( https://github.com/cisagov/log4j-scanner ) oder Du kannst versuchen, auf Dateiebene zu arbeiten (suche nach "log4j2"). Beides bietet keine 100%ige Aussage.
Die Suche im Dateisystem funktioniert dann nicht, wenn die Dateien der log4j2-Bibliotheken innerhalb einer JAR- oder WAR-Datei stecken. Dann musst Du eine Dateisuche bauen, die alle diese Dateien entpackt und in den entpacken Dateien sowohl im Inhalt (sind Bytecode) als auch im Dateinamen nach log4j2 sucht, z.B. https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
Wenn die Lücke schon aktiv ausgenutzt wird, dann kann es sein, dass die Angreifer dem einfachen Scannen und der Dateisuche entgegenwirken, d.h. die haben vielleicht schon selber "gepatcht", während ihre Hintertür schon aktiv ist.
Du kannst es sowohl von Außen als Pseudo-Angriff versuchen ( https://github.com/cisagov/log4j-scanner ) oder Du kannst versuchen, auf Dateiebene zu arbeiten (suche nach "log4j2"). Beides bietet keine 100%ige Aussage.
Die Suche im Dateisystem funktioniert dann nicht, wenn die Dateien der log4j2-Bibliotheken innerhalb einer JAR- oder WAR-Datei stecken. Dann musst Du eine Dateisuche bauen, die alle diese Dateien entpackt und in den entpacken Dateien sowohl im Inhalt (sind Bytecode) als auch im Dateinamen nach log4j2 sucht, z.B. https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
Wenn die Lücke schon aktiv ausgenutzt wird, dann kann es sein, dass die Angreifer dem einfachen Scannen und der Dateisuche entgegenwirken, d.h. die haben vielleicht schon selber "gepatcht", während ihre Hintertür schon aktiv ist.
Hallo!
@offtopic
Es ist wirklich schade, wie hier gute Posts und gute Fragen mit solchen Pauschalantworten abgestraft werden, wie "nutze doch nmap" gemeinsam mit einem Hinweis auf fehlende Qualifikation... nmap hilft sicherlich bei Log4J.
Zum eigentlichen Thema:
Ich kenne die Begrenzung von OpenVAS nicht, nutze aber auch die kommerzielle Greenbone-Version. Wo hast Du da eine Begrenzung auf 4000 Hosts? Was gut funktionieren dürfe, wäre, die zu scannenden Adressen per API einzuchecken. Dann sollte das ja kein Problem sein.
Alternativ nutze ich Nessus Professional. Das kostet auch nicht die Welt und ist auch per API zu bedienen, auch wenn ich das noch nie benötigt habe. Aber natürlich nicht OpenSource.
@offtopic
Es ist wirklich schade, wie hier gute Posts und gute Fragen mit solchen Pauschalantworten abgestraft werden, wie "nutze doch nmap" gemeinsam mit einem Hinweis auf fehlende Qualifikation... nmap hilft sicherlich bei Log4J.
Zum eigentlichen Thema:
Ich kenne die Begrenzung von OpenVAS nicht, nutze aber auch die kommerzielle Greenbone-Version. Wo hast Du da eine Begrenzung auf 4000 Hosts? Was gut funktionieren dürfe, wäre, die zu scannenden Adressen per API einzuchecken. Dann sollte das ja kein Problem sein.
Alternativ nutze ich Nessus Professional. Das kostet auch nicht die Welt und ist auch per API zu bedienen, auch wenn ich das noch nie benötigt habe. Aber natürlich nicht OpenSource.
Zitat von @Der-Phil:
@offtopic
Es ist wirklich schade, wie hier gute Posts und gute Fragen mit solchen Pauschalantworten abgestraft werden, wie "nutze doch nmap" gemeinsam mit einem Hinweis auf fehlende Qualifikation... nmap hilft sicherlich bei Log4J.
@offtopic
Es ist wirklich schade, wie hier gute Posts und gute Fragen mit solchen Pauschalantworten abgestraft werden, wie "nutze doch nmap" gemeinsam mit einem Hinweis auf fehlende Qualifikation... nmap hilft sicherlich bei Log4J.
Dachte das ist das markenzeichen dieses Forums :D
Aber mal im Ernst... was wäre denn die Alternative ? Die Art und Weise der Fragestellung zeigt doch das beim TO noch Wissenslücken vorhanden sind.
Wie sollte denn eine politisch korrekte Antwort auf so eine Frage aussehen ? Dazu kommt oben ja wenig Konkretes. Das man ihm eine deatilierte 5 Seiten Anleitung zu nmap schreibt kann es ja nicht sein zumal Adminsitratoren gleich wissen das es nicht umfänglich gegen Log4j hilft. Wie die Kollegen oben schon schreiben ist das Log4j Problem ja deutlich komplexer was niemals mit einem simplen Portscanner allein zu detektieren ist. Das weiss auch ein Laie der sich einmal etwas genauer mit dem Thema beschäftigt hat und...es ist ja auch das Tückische an diesem Bug.
Da sollte man fair sein und auch mal die Kirche im Dorf lassen !
Wie sollte denn eine politisch korrekte Antwort auf so eine Frage aussehen ? Dazu kommt oben ja wenig Konkretes. Das man ihm eine deatilierte 5 Seiten Anleitung zu nmap schreibt kann es ja nicht sein zumal Adminsitratoren gleich wissen das es nicht umfänglich gegen Log4j hilft. Wie die Kollegen oben schon schreiben ist das Log4j Problem ja deutlich komplexer was niemals mit einem simplen Portscanner allein zu detektieren ist. Das weiss auch ein Laie der sich einmal etwas genauer mit dem Thema beschäftigt hat und...es ist ja auch das Tückische an diesem Bug.
Da sollte man fair sein und auch mal die Kirche im Dorf lassen !
Zitat von @joerg:
Ich bin aktuell auf der Suche nach einem Scanner der die Log4J-Lücke erkennt und mit dem ich große Netze >4000 mögliche IPs scannen kann.
Ich bin aktuell auf der Suche nach einem Scanner der die Log4J-Lücke erkennt und mit dem ich große Netze >4000 mögliche IPs scannen kann.
Zitat von @aqui:
Wie immer ist hier der Klassiker nmap dein bester Freund. Solltest du als Netzwerk Admin aber eigentlich auch kennen !!
Wie immer ist hier der Klassiker nmap dein bester Freund. Solltest du als Netzwerk Admin aber eigentlich auch kennen !!
Zitat von @Der-Phil:
@offtopic
Es ist wirklich schade, wie hier gute Posts und gute Fragen mit solchen Pauschalantworten abgestraft werden, wie "nutze doch nmap" gemeinsam mit einem Hinweis auf fehlende Qualifikation... nmap hilft sicherlich bei Log4J.
Verstehe ich jetzt aber erlich gesagt nicht. Wiso ist nmap eine schlechte Antwort auf die Frage nach einem Tool? Ich bin jetzt nicht tief drin im Thema aber nmap wäre auch für mich ein Kandidat.@offtopic
Es ist wirklich schade, wie hier gute Posts und gute Fragen mit solchen Pauschalantworten abgestraft werden, wie "nutze doch nmap" gemeinsam mit einem Hinweis auf fehlende Qualifikation... nmap hilft sicherlich bei Log4J.
Die "Spitzen" die @aqui seinen Posts beisteuert mag nicht jeder Nett finden aber fachlich kann man ihm nun wirklich keinen Vorwurf machen.
Zitat von @ukulele-7:
Zum eigentlichen Thema:
Ich kenne die Begrenzung von OpenVAS nicht, nutze aber auch die kommerzielle Greenbone-Version. Wo hast Du da eine Begrenzung auf 4000 Hosts?
Zum eigentlichen Thema:
Ich kenne die Begrenzung von OpenVAS nicht, nutze aber auch die kommerzielle Greenbone-Version. Wo hast Du da eine Begrenzung auf 4000 Hosts?
Vielleicht hängt das mit der Umstellung auf die "Trial"-Edition zusammen. OSSIM wäre auch ein Weg zu einer OpenVAS-Appliance, bei der ich mir keiner Beschränkung bewusst bin.