Scanner Log4J

joerg
Goto Top
Hallo zusammen,

Log4J ist ja mittlerweile schon ein paar Tage her aber immer noch aktuell.
Ich bin aktuell auf der Suche nach einem Scanner der die Log4J-Lücke erkennt und mit dem ich große Netze >4000 mögliche IPs scannen kann.
Bisher haben wir immer OpenVAS von Greenbone eingesetzt wenn es um dedizierte Lücken bei einzelnen Systemen oder kleineren netzen (/20 oder kleiner) geht, aber OpenVAS hat eine Limitierung von 4000 IPs. Hab auch in den Foren nichts gefunden wie oder ob man das umgehen kann.

Daher meine Frage, habt ihr einen Scanner, der große Netzwerke (>1000 Standorte) zuverlässig Scannen kann und ggf. der auch noch OpenSource ist?

Grüße und Danke schon mal für eure Hilfe

Content-Key: 1731694633

Url: https://administrator.de/contentid/1731694633

Ausgedruckt am: 30.06.2022 um 04:06 Uhr

Mitglied: ukulele-7
ukulele-7 17.01.2022 um 11:49:33 Uhr
Goto Top
Wäre schon sinnvoll wenn du wenigstens einen Grund nennst warum du ein Tool suchst das schnell unter § 202c StGB fällt wobei du schon eins hast das zumindest für eigene Netze eigentlich tauglich sein sollte.
Mitglied: joerg
joerg 17.01.2022 um 11:54:21 Uhr
Goto Top
Weil ich für die Masse an Standorte 4000 Tasks in OpenVAS erstellen müsste und ich das ganze etwas geschmeidiger haben wollen würde, aber ich wüsste aktuell auch nicht warum ich mich hier rechtfertigen müsste.
Wenn jemand ein Tool hat und möchte das nicht in die breite Masse treten, kann man auch gerne auf PN zurückgreifen und dort den Arbeitgeber und die Position verifizieren ;) (Find ich bei so einem Thema im Übrigen durchaus Legitim).
Mitglied: NetzwerkDude
NetzwerkDude 17.01.2022 um 12:00:14 Uhr
Goto Top
Sowas gibt es nicht, da es nicht "die" Log4J Lücke gibt.
Es sind jeweils verschiedene Apps die unter der Haube die Log4j lib nutzen, aber von aussen ist nicht immer erkennbar ob die nun "verwundbar" sind.

Es gibt Projekte die "mal ein paar felder mit dem berühmten ldap string füllen" wie z.B.
https://github.com/giterlizzi/nmap-log4shell
und dann schauen ob was zurückkommt
Aber ob das nun generell alle Dienste findet die Log4j nutzt? Eher nicht, denn bereits "populäre" Apps wie z.B. VSphere ist nicht ganz so trivial:
https://www.sprocketsecurity.com/blog/how-to-exploit-log4j-vulnerabiliti ...

Und wann man noch wenig erforsche Apps hat, dann hilft einem eine "automatik" nicht weiter, da muss man selbst etwas rumhacken und schauen wie die App reagiert

Daher ist der Ansatz mit einem Vulnerability Manager wie Greenbone schon richtig, aber auch der finden eben nur das was in der DB ist
Mitglied: joerg
joerg 17.01.2022 um 12:10:32 Uhr
Goto Top
Ich habe nur das Problem der Limitierung der Scans in OpenVAS und wollte schauen ob es ein adäquate Alternative gibt.
Mitglied: aqui
aqui 17.01.2022 um 13:24:42 Uhr
Goto Top
Wie immer ist hier der Klassiker nmap dein bester Freund. Solltest du als Netzwerk Admin aber eigentlich auch kennen !!
Mitglied: C.R.S.
C.R.S. 17.01.2022 um 14:58:28 Uhr
Goto Top
Das wird sinnvollerweise dateibasiert und nicht dienstbasiert gescannt. Insofern gibt es reichlich Alternativen, die sich aber in der Gründlichkeit und Arbeitsaufwand unterscheiden.
Wenn ihr Software sauber inventarisiert, steht dort ja schon fast alles drin, was man prüfen muss. Wildwuchs lässt sich mit einfachen Skripten zumindest grob erfassen. Um wirklich zuverlässig solche Libraries aufzuspüren, kann man IR-Tools wie Google Rapid Response verwenden.

Grüße
Richard
Mitglied: yoppi1
yoppi1 17.01.2022 um 17:32:54 Uhr
Goto Top
Wie sind die Netze und die Prozesse, die dort IP-Ports öffnen aufgebaut? Laufen dort woüberall die gleichen Dienste? Weisst Du, welche Dienste dort laufen sollten? Welche Ports sollen gescannt werden? Alle? (bei 4000 IPs und 65535 Ports kann das dauern...)

Du kannst es sowohl von Außen als Pseudo-Angriff versuchen ( https://github.com/cisagov/log4j-scanner ) oder Du kannst versuchen, auf Dateiebene zu arbeiten (suche nach "log4j2"). Beides bietet keine 100%ige Aussage.
Die Suche im Dateisystem funktioniert dann nicht, wenn die Dateien der log4j2-Bibliotheken innerhalb einer JAR- oder WAR-Datei stecken. Dann musst Du eine Dateisuche bauen, die alle diese Dateien entpackt und in den entpacken Dateien sowohl im Inhalt (sind Bytecode) als auch im Dateinamen nach log4j2 sucht, z.B. https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b

Wenn die Lücke schon aktiv ausgenutzt wird, dann kann es sein, dass die Angreifer dem einfachen Scannen und der Dateisuche entgegenwirken, d.h. die haben vielleicht schon selber "gepatcht", während ihre Hintertür schon aktiv ist.
Mitglied: NetzwerkDude
NetzwerkDude 17.01.2022 um 19:45:36 Uhr
Goto Top
An welcher Stelle ist eigentlich die 4000 IPs Limitation? Habe hier die neuste Open Source Version vom Greenbone, und finde das Limit gerade nicht
Mitglied: Der-Phil
Der-Phil 18.01.2022 um 08:35:32 Uhr
Goto Top
Hallo!

@offtopic
Es ist wirklich schade, wie hier gute Posts und gute Fragen mit solchen Pauschalantworten abgestraft werden, wie "nutze doch nmap" gemeinsam mit einem Hinweis auf fehlende Qualifikation... nmap hilft sicherlich bei Log4J.

Zum eigentlichen Thema:
Ich kenne die Begrenzung von OpenVAS nicht, nutze aber auch die kommerzielle Greenbone-Version. Wo hast Du da eine Begrenzung auf 4000 Hosts? Was gut funktionieren dürfe, wäre, die zu scannenden Adressen per API einzuchecken. Dann sollte das ja kein Problem sein.

Alternativ nutze ich Nessus Professional. Das kostet auch nicht die Welt und ist auch per API zu bedienen, auch wenn ich das noch nie benötigt habe. Aber natürlich nicht OpenSource.
Mitglied: NetzwerkDude
NetzwerkDude 18.01.2022 aktualisiert um 09:54:35 Uhr
Goto Top
Zitat von @Der-Phil:
@offtopic
Es ist wirklich schade, wie hier gute Posts und gute Fragen mit solchen Pauschalantworten abgestraft werden, wie "nutze doch nmap" gemeinsam mit einem Hinweis auf fehlende Qualifikation... nmap hilft sicherlich bei Log4J.

Dachte das ist das markenzeichen dieses Forums :D
Mitglied: aqui
aqui 18.01.2022 aktualisiert um 10:03:56 Uhr
Goto Top
Aber mal im Ernst... was wäre denn die Alternative ? Die Art und Weise der Fragestellung zeigt doch das beim TO noch Wissenslücken vorhanden sind.
Wie sollte denn eine politisch korrekte Antwort auf so eine Frage aussehen ? Dazu kommt oben ja wenig Konkretes. Das man ihm eine deatilierte 5 Seiten Anleitung zu nmap schreibt kann es ja nicht sein zumal Adminsitratoren gleich wissen das es nicht umfänglich gegen Log4j hilft. Wie die Kollegen oben schon schreiben ist das Log4j Problem ja deutlich komplexer was niemals mit einem simplen Portscanner allein zu detektieren ist. Das weiss auch ein Laie der sich einmal etwas genauer mit dem Thema beschäftigt hat und...es ist ja auch das Tückische an diesem Bug.
Da sollte man fair sein und auch mal die Kirche im Dorf lassen !
Mitglied: ukulele-7
ukulele-7 18.01.2022 aktualisiert um 10:12:51 Uhr
Goto Top
Zitat von @joerg:

Ich bin aktuell auf der Suche nach einem Scanner der die Log4J-Lücke erkennt und mit dem ich große Netze >4000 mögliche IPs scannen kann.

Zitat von @aqui:

Wie immer ist hier der Klassiker nmap dein bester Freund. Solltest du als Netzwerk Admin aber eigentlich auch kennen !!

Zitat von @Der-Phil:

@offtopic
Es ist wirklich schade, wie hier gute Posts und gute Fragen mit solchen Pauschalantworten abgestraft werden, wie "nutze doch nmap" gemeinsam mit einem Hinweis auf fehlende Qualifikation... nmap hilft sicherlich bei Log4J.
Verstehe ich jetzt aber erlich gesagt nicht. Wiso ist nmap eine schlechte Antwort auf die Frage nach einem Tool? Ich bin jetzt nicht tief drin im Thema aber nmap wäre auch für mich ein Kandidat.

Die "Spitzen" die @aqui seinen Posts beisteuert mag nicht jeder Nett finden aber fachlich kann man ihm nun wirklich keinen Vorwurf machen.
Mitglied: C.R.S.
C.R.S. 18.01.2022 um 11:07:40 Uhr
Goto Top
Zitat von @ukulele-7:

Zum eigentlichen Thema:
Ich kenne die Begrenzung von OpenVAS nicht, nutze aber auch die kommerzielle Greenbone-Version. Wo hast Du da eine Begrenzung auf 4000 Hosts?

Vielleicht hängt das mit der Umstellung auf die "Trial"-Edition zusammen. OSSIM wäre auch ein Weg zu einer OpenVAS-Appliance, bei der ich mir keiner Beschränkung bewusst bin.
Mitglied: joerg
joerg 18.01.2022 um 12:12:44 Uhr
Goto Top
Hallo zusammen und schon mal vielen Dank an alle konstruktiven Anmerkungen.

Zum eigentlichen Thema, die Limitierung findet in den "Targets" statt, dann unter "Hosts". Hier kann ich maximal ein /20-Netz eintragen. Alles was größer wird, lehnt er mir mit einer Fehlermeldung ab. Wenn ich danach suche finde ich den Foren Einträge die darauf hinweisen, dass es eine Limitierung von 4096-Host gibt.
Mitglied: NetzwerkDude
NetzwerkDude 18.01.2022 um 12:36:39 Uhr
Goto Top
Hast recht, er mag nichts größer als /20