theoberlin
Goto Top

Log4j Sicherheitslücke kleiner V2.15 Kategorie 4 CVE-2021-44228

article-picture
Hallo zusammen,

die Versionen von Log4j < 2.15 sind gegen eine Schwachstelle vulnerabel. Das BSI hat die Sicherheitslücke als Kategorie 4 eingestuft. Sie ist sehr leicht ausnutzbar.

Hier noch ein paar Links dazu:

cve.mitre.org CVE-2021-44228

CVE-2021-44228 Log4J-Lücke bedroht Minecraft und viele weitere Anwendungen
Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen
Schutz vor schwerwiegender Log4j-Lücke - was jetzt hilft und was nicht

lg
Theo

Content-ID: 1611160059

Url: https://administrator.de/knowledge/log4j-sicherheitsluecke-kleiner-v2-15-kategorie-4-cve-2021-44228-1611160059.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

StefanKittel
StefanKittel 12.12.2021 um 10:04:39 Uhr
Goto Top
<satire>Dann können wir ja mal davon ausgehen, dass es im medizinischen Bereich schnellstens Update geben wird. Also in ca. 6-8 Monaten.</satire>
commodity
commodity 12.12.2021 aktualisiert um 11:01:41 Uhr
Goto Top
Danke für den Post. Ich kam leider noch nicht dazu. Die Lücke fackelt schon seit zwei Tagen fleißig im Netz und es ist eine Fülle von Diensten betroffen (Stand jetzt). Das Ausmaß ist noch gar nicht abzusehen.

Hier mal ein kurzer Überblick, welche - prominenten - Dienste schon jetzt bekannt sind:

https://github.com/YfryTchsGD/Log4jAttackSurface#the-list

Für die Kollegen, die VMWare einsetzen, dürfte ein bisschen Arbeit anstehen...

Stay tuned!

Viele Grüße, commodity
em-pie
em-pie 12.12.2021 um 11:38:49 Uhr
Goto Top
Ich freu mich. Weihnachten gerettet face-sad

Und wenn man noch bedenkt, wie wie viele Apaches auf „irgendwelchen“ Firewalls/ UTMs zum Einsatz kommen…
commodity
commodity 12.12.2021 aktualisiert um 11:46:15 Uhr
Goto Top
Nein, der Webserver Apache ist nicht betroffen. Bitte erst die Feeds lesen, dann klagen face-wink

Aber das, was betroffen ist, dürfte für die nächsten Wochen reichen.

Viele Grüße, commodity
148848
148848 12.12.2021 aktualisiert um 12:06:47 Uhr
Goto Top
Moin,

Nein, der Webserver Apache ist nicht betroffen. Bitte erst die Feeds lesen, dann klagen face-wink face-wink

Wer sagt, dass @em-pie den Apache HTTP Server meint? face-wink

Der HTTP Server ist ja nur ein Produkt von vielen von der Apache Software Foundation.
Und von der Lücke sind einige Apache Produkte betroffen. Insofern hat er da durchaus recht.

MfG
ichi1232
ichi1232 12.12.2021 um 14:21:46 Uhr
Goto Top
Zitat von @commodity:

Danke für den Post. Ich kam leider noch nicht dazu. Die Lücke fackelt schon seit zwei Tagen fleißig im Netz und es ist eine Fülle von Diensten betroffen (Stand jetzt). Das Ausmaß ist noch gar nicht abzusehen.

Hier mal ein kurzer Überblick, welche - prominenten - Dienste schon jetzt bekannt sind:

https://github.com/YfryTchsGD/Log4jAttackSurface#the-list

Für die Kollegen, die VMWare einsetzen, dürfte ein bisschen Arbeit anstehen...

Stay tuned!

Viele Grüße, commodity

Ich frage mich ernsthaft, in welchem dunklen Szenarien VMware Hosts / VCenter Appliances von solchen Angriffen betroffen sein könnten. (?)

Natürlich sollten die Patches schnellstmöglich eingespielt werden, das steht außer Frage.
Ich bin dennoch der Meinung, dass das Risiko schwindend gering ist, wenn alle anderen Maßnahmen umgesetzt sind (Netztrennung, Isolierung, 802.1x, etc. pp.). Den ausgebrannten und bereits gekündigten Administrator mit 2 Häusern und 15 Kindern lasse ich als inneren Angreifer jetzt mal außen vor.

Gibt es Angriffsmöglichkeiten die ich evtl. nicht bedacht habe?
commodity
commodity 12.12.2021 aktualisiert um 21:01:39 Uhr
Goto Top
Zitat von @148848:
Wer sagt, dass @em-pie den Apache HTTP Server meint? face-wink
... von der Lücke sind einige Apache Produkte betroffen.

In einem Forum kann man natürlich faktenfern bleiben. Wenn Techniker über Sicherheit reden, finde ich das aber bedenklich. Wenn Du die Liste der betroffenen Apache-Software gelesen/verstanden hättest, würdest Du nicht so einen oberflächlichen Nonsens schreiben. Keine der betroffenen Apache-Software - Apache Solr, Apache Druid, Apache Flink oder Apache Struts2 sehe ich auf einer Firewall. Webserver hingegen alle Tage. Geht das nur mir so? Was also wird der Kollege @em-pie gemeint haben? Ist doch auch gar nicht schlimm. Ist ja Sonntag.

Ich mag mich irren. Korrigier mich gern, wenn Du einen Anwendungsfall für eine Firewall kennst. Ich lerne immer gern dazu. Aber bitte nicht faktenfrei face-wink Ist zwar derzeit modern, hat aber in der IT nichts zu suchen. Voodoo ist woanders.

Viele Grüße, commodity
em-pie
em-pie 12.12.2021 um 21:35:41 Uhr
Goto Top
Tatsächlich hab ich fälschlicherweise den Webserver im Kopf gehabt. Muss aber zu meiner „Verteidigung“ sagen: den Artikel hatte ich bereits weit vor diesem Thread gelesen und mir scheinbar nur „Apache“ behalten.

Asche auf mein Haupt. Ich werd besser mal zum Hausmeister umschulen face-smile
theoberlin
theoberlin 12.12.2021 um 23:17:26 Uhr
Goto Top
Lass mal em-pie, ich hab es auch erst auf den Apache Webserver bezogen und dann nochmal schnell den Betreff geändert 😁
themuck
themuck 13.12.2021 um 09:21:24 Uhr
Goto Top
Weil es nicht in der Liste ist... es betrifft zum Beispiel auch Kommerzielle Asterisk Voip anlagen ;)...
Looser27
Looser27 13.12.2021 aktualisiert um 09:39:48 Uhr
Goto Top
Moin,

VMWare hat hier u.a. einen Workaround für das vCenter veröffentlicht :
https://kb.vmware.com/s/article/87081?lang=en_US

Gruß

Looser

Edit:

Hier noch die Liste von der HP von vmware:
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
manuel-r
manuel-r 13.12.2021 um 09:49:04 Uhr
Goto Top
Zitat von @themuck:

Weil es nicht in der Liste ist... es betrifft zum Beispiel auch Kommerzielle Asterisk Voip anlagen ;)...

Zumindest 3CX sagt "Nein, kein Java und deshalb auch kein log4j"

Manuel
Looser27
Looser27 13.12.2021 um 09:56:54 Uhr
Goto Top
Unifi hat bereits ein Update veröffentlicht für die betroffene Controller-Software.
commodity
commodity 13.12.2021 aktualisiert um 10:04:45 Uhr
Goto Top
Zitat von @themuck:

Weil es nicht in der Liste ist... es betrifft zum Beispiel auch Kommerzielle Asterisk Voip anlagen ;)...

Bitte präziser. Diese Info, selbst wenn es zutreffen würde, viel zu pauschal.

- Fundstelle?
- Kontext?
Looser27
Looser27 13.12.2021 um 10:03:37 Uhr
Goto Top
Starface prüft gerade, ob deren Anlagen in den unterschiedlichen Versionsständen betroffen sind.
themuck
themuck 13.12.2021 um 10:03:41 Uhr
Goto Top
Zitat von @commodity:

Zitat von @themuck:

Weil es nicht in der Liste ist... es betrifft zum Beispiel auch Kommerzielle Asterisk Voip anlagen ;)...

Bitte präziser.

- Fundstelle?
- Kontext?

Viele Grüße, commodity

https://www.pascom.net/forum/t/official-information-on-log4j-security-vu ...
commodity
commodity 13.12.2021 um 10:05:03 Uhr
Goto Top
Zitat von @em-pie:
Asche auf mein Haupt.
Quatsch, passiert doch jedem hier mal auf die schnelle. Wollte nur vermeiden, dass sich Panikmeldungen verbreiten.

Viele Grüße, commodity
Looser27
Looser27 13.12.2021 um 10:05:04 Uhr
Goto Top
Zitat von @themuck:

Zitat von @commodity:

Zitat von @themuck:

Weil es nicht in der Liste ist... es betrifft zum Beispiel auch Kommerzielle Asterisk Voip anlagen ;)...

Bitte präziser.

- Fundstelle?
- Kontext?

Viele Grüße, commodity

https://www.pascom.net/forum/t/official-information-on-log4j-security-vu ...

Das betrifft aber erstmal nur deren Anlagen und sollte nicht verallgemeinert werden. Die anderen Hersteller werden sich schon noch äußern.
commodity
commodity 13.12.2021 aktualisiert um 10:07:28 Uhr
Goto Top

Danke, ich sehe allerdings nur eine Anlage. Mehr?

Anmerkung: Es wird noch ganz viel hochkommen. Pauschale Posts bringen nichts. Arbeiten können wir nur mit präzisen Infos.

Viele Grüße, commodity
commodity
commodity 13.12.2021 um 10:13:59 Uhr
Goto Top
Ergänzung zur obigen Liste: Die auch bei Heise verlinkte advisory-list (wird fortlaufend aktualisiert):

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Viele Grüße, commodity
themuck
themuck 13.12.2021 um 10:17:02 Uhr
Goto Top
Zitat von @commodity:

Anmerkung: Es wird noch ganz viel hochkommen. Pauschale Posts bringen nichts. Arbeiten können wir nur mit präzisen Infos.

Viele Grüße, commodity

Das ist mir schon klar... ich wollte eigentlich nur dazu anregen das Leute die so eine Anlage betreiben einfach nach schauen was ihr Anbieter dazu sagt... Eventuell hat man sowas ja nicht sofort auf dem Schirm.
em-pie
em-pie 13.12.2021 um 10:42:24 Uhr
Goto Top
ElasticSearch ist im übrigen dahingehend "interessant", da es die erweiterte Suchfunktion vieler Wikis ist.

Zumindest bin ich in dem Kontext auf ElasticSearch aufmerksam geworden, bin mir aber ziemlich sicher, dass es nicht nur in den verschiedenen Wikis zum Einsatz kommt.

Also auch eine Auge auf die Systeme haben, die zwar nicht direkt irgendwo gelistet werden, aber aufgeführte Dienste als Bausteine "unter der Haube" einsetzen...
StefanKittel
StefanKittel 13.12.2021 um 11:22:49 Uhr
Goto Top
em-pie
em-pie 13.12.2021 um 14:10:11 Uhr
Goto Top
ukulele-7
ukulele-7 13.12.2021 um 14:11:46 Uhr
Goto Top
Also ich weiß ja was hier so im Netzwerk werkelt und das hänge ich zur Not einfach vom Internet ab bis es gepatcht ist bzw. gar nicht erst ans Internet dran, wie sich das gehört. Aber sagt mal was macht ihr mit euren "Cloud Services" die ihr irgendwo einkauft, schreibt ihr die alle an? Ist ja nicht so das ich da einfach den Stecker ziehen könnte bis ich weiß was Sache ist und noch hat sich keiner meiner Anbieter bei mir gemeldet.
Looser27
Looser27 13.12.2021 um 14:13:48 Uhr
Goto Top
IceAge
IceAge 13.12.2021 um 16:21:57 Uhr
Goto Top
Hallo Zusammen,

ich denke die wenigsten hier werden direkt von der Lücke betroffen sein. Mich würde aktuell besonders interessieren wie schätzt ihr die Gefahr ein, indirekt betroffen zu sein... z.B. wenn einer eurer Anwender/Clients eine Web-Application auf einem externen kompromitierten Server nutzt und sich über diesen indirekten Weg mit was auch immer infiziert??

Grüße I.
commodity
commodity 13.12.2021 um 16:39:03 Uhr
Goto Top
groß. Wie Kollege @StefanKittel oben schon schrieb: Bei der Arztsoftware ist in einigen Monaten mit einer Reaktion zu rechnen... Lob aber an CGM-Turbomed: Die haben auf konkrete Anfrage binnen kurzer Zeit eine Zwischennachricht gesendet. Alle anderen Angefragten: Schweigen im Walde.

Und ich war auch schon direkt betroffen. Aber nur der Minecraft-Server für die Kids face-wink Freitag Abend schon geschlossen.

Viele Grüße, commodity
Looser27
Looser27 13.12.2021 um 16:44:27 Uhr
Goto Top
Die größte Gefahr war/ist für uns WebEx. Wird viel genutzt und soweit ich herausgefunden habe bereits gepatched. Alle anderen Dienste sind intern.

Gruß Looser
commodity
commodity 13.12.2021 um 18:02:30 Uhr
Goto Top
Alle anderen Dienste sind intern.
Glück gehabt.

Keine Update-Server?

Viele Grüße, commodity
Looser27
Looser27 13.12.2021 um 18:09:10 Uhr
Goto Top
Keine Update-Server?

Zumindest keine, die bislang auf irgendwelchen Listen stehen.
leon123
leon123 13.12.2021 um 18:13:44 Uhr
Goto Top
Habt ihr den VCenter Workaround schon implementiert? Läuft danach noch alles?
VCenter einfach abschalten ist jetzt nicht das was ich unbedingt will. Es läuft dann einfach auch kein Backup mehr.

Unser VCenter ist natürlich nicht von außen erreichbar. Auch ist auch sonst kein Server mehr von außen erreichbar.
--> Was wäre denn ein mögliches Szenario?
Looser27
Looser27 13.12.2021 um 20:17:17 Uhr
Goto Top
Ich habe den Workaround am vCenter gemacht. Bisher läuft alles noch.
Dirmhirn
Dirmhirn 13.12.2021 um 21:15:28 Uhr
Goto Top
Hi,
Zitat von @IceAge:
ich denke die wenigsten hier werden direkt von der Lücke betroffen sein. Mich würde aktuell besonders interessieren wie schätzt ihr die Gefahr ein, indirekt betroffen zu sein...

Wie seht ihr das? Server hinter firewall die nicht betroffen ist.
Intene User könnten durchaus probieren.
Bzw. Server der aus dem Internet Daten abfragt.

Sg Dirm
commodity
commodity 13.12.2021 um 21:34:34 Uhr
Goto Top
Zitat von @Dirmhirn:
Wie seht ihr das? Server hinter firewall die nicht betroffen ist.
Intene User könnten durchaus probieren.
Bzw. Server der aus dem Internet Daten abfragt.

Jo, stimmt. Muss man wohl im Moment am Schutzlevel ausrichten. Ich verkaufe ner 20-m/f/d-Bürobutze jetzt keinen Hochsicherheitsbereich mit internem Layer7-Filtering (was auch nur sehr begrenzt hülfe). Im vertretbaren Rahmen Schutzlevel hochfahren, ansonsten beobachten (lassen). Und Backup, Backup, Backup. Dennoch kein gutes Gefühl. Aber bange machen bringt auch nichts.

Was sagen denn die teuren UTM-Hersteller? Das wäre doch mal ein usecase...

Viele Grüße, commodity
Looser27
Looser27 13.12.2021 um 21:39:52 Uhr
Goto Top
Was sagen denn die teuren UTM-Hersteller? Das wäre doch mal ein usecase...

Lancom s.o.
commodity
commodity 13.12.2021 um 21:53:30 Uhr
Goto Top
Zitat von @Looser27:
Lancom s.o.

Nee, das hast Du falsch verstanden. Die sollen nicht (nur) sagen, ob oder dass sie (nicht) betroffen sind,
die sollen beschützen.
Ist doch ihre Aufgabe. Oder hab ich da was verwechselt und es geht mehr ums Kassieren als ums Beschützen?

Viele Grüße, commodity
itstrue
itstrue 13.12.2021 um 22:35:13 Uhr
Goto Top
Heißt das Vorhandensein eines entsprechenden Codestrings, dass der Versuch erfolgreich war, oder dass es ein Versuch war. Ist eine Spielmaschine, gut abgesichert, und nach aktuellem Stand nicht mit gefährdeter Software bestückt.
themuck
themuck 13.12.2021 um 22:40:30 Uhr
Goto Top
"Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten, betonte Cloudflare."

Tagesschau.de
itstrue
itstrue 13.12.2021 um 22:54:36 Uhr
Goto Top
Ja das ist mir bekannt, es gibt 10000 offene Tore.

Wie erkenne ich aber, ob es nur ein Scan oder tatsächlich erfolgreich war... s. Frage
ichi1232
ichi1232 13.12.2021 um 22:55:40 Uhr
Goto Top
Zitat von @IceAge:

Hallo Zusammen,

ich denke die wenigsten hier werden direkt von der Lücke betroffen sein. Mich würde aktuell besonders interessieren wie schätzt ihr die Gefahr ein, indirekt betroffen zu sein... z.B. wenn einer eurer Anwender/Clients eine Web-Application auf einem externen kompromitierten Server nutzt und sich über diesen indirekten Weg mit was auch immer infiziert??

Grüße I.

Die indirekte Betroffenheit wird sich wahrscheinlich nicht sofort zeigen. Das BSI rechnet aber z.B. damit, dass riesige Botnetze gespannt werden. Die Angriffe die dann folgen, werden wahrscheinlich eklig (Spam und Ransomware Wellen, DDoS, etc.)

Die ersten Angriffe sind bei mir gestern schon verzeichnet (aber durch IPS geblockt) worden - also am Sonntag - denkbar schlechte Ausgangssituation für andere Netzwerke.
commodity
commodity 14.12.2021 um 09:24:37 Uhr
Goto Top
Moin,

Hier mal ein aktualisierter Überblick vom NL-NCSC. Software von A-Z face-smile:

https://github.com/NCSC-NL/log4shell/tree/main/software

Viele Grüße, commodity
Looser27
Looser27 14.12.2021 um 09:28:22 Uhr
Goto Top
Hat schon jemand Informationen von APC erhalten? Deren VM-Appliance läuft mit v2.13.
Ist bei uns zwar hinter der Firewall, aber man weiß ja nie.......

Auf deren Homepage steht bis dato nichts.
commodity
commodity 14.12.2021 aktualisiert um 10:06:34 Uhr
Goto Top
Verbiete ihr einfach das Connecten nach außen, dann sollte die bestehende Verwundbarkeit kein Problem sein (solange der Angriff nicht von innen kommt). Aber in Dein Management-Lan kommt ja auch keiner so ohne Weiteres.

Viele Grüße, commodity
SirEistee
SirEistee 14.12.2021 um 10:12:32 Uhr
Goto Top
Zitat von @Looser27:

Starface prüft gerade, ob deren Anlagen in den unterschiedlichen Versionsständen betroffen sind.

Moin,

gibt's hierzu was Neues?
leon123
leon123 14.12.2021 um 10:18:26 Uhr
Goto Top
SQL Server 2019, hier gibt es auch die Version 1.2.17...

Hier gefunden:
S:\Program Files\Microsoft SQL Server\150\DTS\Extensions\Common\Jars

Kommt da noch was?
Looser27
Looser27 14.12.2021 um 10:29:19 Uhr
Goto Top
Zitat von @SirEistee:

Zitat von @Looser27:

Starface prüft gerade, ob deren Anlagen in den unterschiedlichen Versionsständen betroffen sind.

Moin,

gibt's hierzu was Neues?

Im Support Forum von Starface ist zu entnehmen, dass deren Anlagen (Cloud und onPremise) nicht betroffen sein sollen.
commodity
commodity 14.12.2021 aktualisiert um 10:32:10 Uhr
Goto Top
Zitat von @leon123:
Kommt da noch was?
nein
screen-shot-2021-12-13-at-12.18.47-pm
ukulele-7
ukulele-7 14.12.2021 um 10:32:55 Uhr
Goto Top
ELO nimmt für sich in Anspruch auch nicht betroffen zu sein, weil noch Log4j Version 1 genutzt wird. Will aber auch Änderungen vornehmen und die Sache beobachten.
commodity
commodity 14.12.2021 aktualisiert um 10:35:31 Uhr
Goto Top
Die Quelle sollte über jeden Zweifel erhaben sein face-wink
Zumindest geht näher dran nicht.

Viele Grüße, commodity
em-pie
em-pie 14.12.2021 um 10:39:26 Uhr
Goto Top
Moin,

Igel hat soeben auch Feedback gegeben (per E-Mail):
ISN 2021-11: UMS Log4j vulnerability

====================================

First published 13 December 2021

CVSS 3.1 Base Score:10.0 (Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Summary
-------
A critical vulnerability, also known as Log4shell, has been found in the Log4j logging library. This affects the following IGEL products (other IGEL products are not affected)
  * IGEL UMS

Details
-------
The versions 2.0-beta9 up to 2.14.1 of the Log4j library are vulnerable to Remote Command Execution (RCE). This means that a remote attacker can execute commands over the network on software that contains the vulnerable Log4j versions. IGEL UMS and the Elasticsearch engine in the IGEL Web App are affected.
Exploit code is already available, and the issue is being actively exploited on the Internet. Therefore, IGEL strongly recommends applying the mitigations below and updating UMS installations as soon as a fixed version is available.
In a typical UMS installation, this issue is mitigated by the fact that UMS is not reachable from the Internet.

Update instructions
-------------------
  * A fixed version of UMS is in preparation. This document will be updated when it is available.

Mitigation
----------
UMS Server (Tomcat)
- - - - - - - - - -
On Windows
  1. Open Windows Explorer and navigate to {installation_path}/rmguiserver/bin
  2. Run editTomcatService.bat
  3. Click on the "Java" tab and add a new line in the text field "Java Options:": 
     -Dlog4j2.formatMsgNoLookups=true
  4. Click "OK" to save and close settings
  5.Run "services.msc", locate and restart "IGEL RMGUIServer"

On Linux
  1. Open UMS server service file, e.g.: vim /etc/systemd/system/igel-ums-server.service
  2. Find the line beginning "ExecStart=" and move forward to the line with
     -Dcatalina.home=${RM_HOME}/rmguiserver \
  3. Insert a new line after this line and add the following text:
     -Dlog4j2.formatMsgNoLookups=True \
  4. Make sure the line ends with a space followed by a backslash 
     The final lines should look like this:
     -Dcatalina.home=${RM_HOME}/rmguiserver \
     -Dlog4j2.formatMsgNoLookups=True \
     -Djava.io.tmpdir=${CATALINA_HOME}/temp \
  5. Save and exit the file
  6. Reload services: sudo systemctl daemon-reload
  7. Restart UMS server: sudo systemctl restart igel-ums-server

Elasticsearch (if UMS Web App is installed)
- - - - - - - - - - - - - - - - - - - - - -
  * Open elastic search jvm.options  at {installation_path}/elasticsearch/config
  * Insert a new line at the end and add the following text: 
    -Dlog4j2.formatMsgNoLookups=True
  * Save and exit the file
  * Restart the elasticsearch service
    * On Windows: run “services.msc”, locate and restart “IGEL Search Indexer”
    * Linux: sudo systemctl restart igel-elasticsearch

References
  * CVE-2021-44228: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
  * BSI-Cyber-Sicherheitswarnung (in German only): https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf 

--------------------------------------------------------------------------------
IGEL Technology is represented by the IGEL Technology GmbH.
Head Office: IGEL Technology GmbH, Hermann-Ritter-Str. 110, 28197 Bremen, Germany
Tel: +49 421 52094 0, Fax: +49 421 52094 1499, Email: info@igel.com mailto:info@igel.com

Managing Directors: Matthias Haas, Anja Schulz Amtsgericht Bremen: HRB 20636, VAT: DE 219524359, WEEE-Reg.-No. DE 79295479 © 2021 IGEL. All rights reserved. All trademarks are the property of their respective owners.
If you no longer wish to receive marketing emails from IGEL, please click  here http://marketing.igel.com/acton/rif/34989/s-0d99-2112/-/l-0f7f:15bf/l-0f7f/zout?sid=TV2%3ACOeKvA5Hi
SirEistee
SirEistee 14.12.2021 um 10:59:28 Uhr
Goto Top
Im LanSweeper lässt sich ein Report zur Schwachstelle erstellen, der dann potenzielle Software aufzeigt.

LanSweeper Beitrag
Report zum Kopieren
90948
90948 14.12.2021 um 11:15:10 Uhr
Goto Top
Hi,

FlowChief Prozessleitsystem, QNAP QTS System und Aagoon Client Manager sind nicht betroffen
leon123
leon123 14.12.2021 aktualisiert um 11:52:26 Uhr
Goto Top
Zitat von @commodity:

Zitat von @leon123:
Kommt da noch was?
nein


Danke, das BSI hat mich dahingehend nur etwas beunruhigt.
Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch
in den Versionen 1.x verwundbar. In diesen Fällen sei die Verwundbarkeit jedoch nur über eine schadhafte
Programmkonfiguration ausnutzbar, sodass eine Ausnutzung weit weniger wahrscheinlich erscheint. [GIT2021d
Looser27
Looser27 15.12.2021 aktualisiert um 09:26:39 Uhr
Goto Top
Looser27
Looser27 15.12.2021 um 09:29:35 Uhr
Goto Top
manuel-r
manuel-r 15.12.2021 um 10:14:15 Uhr
Goto Top
Hat den hier schon jemand gepostet? https://log4j-tester.trendmicro.com/

Der Disclaimer ist zwar sinngemäß "Wenn du hier was sieht schau genauer nach. Und wenn nicht schau trotzdem nach." Es kann aber ja auch nicht schaden seine externen Dienste einfach mal damit abzuklopfen.

Manuel
manuel-r
manuel-r 15.12.2021 um 13:24:11 Uhr
Goto Top
heise.de

Neue Probleme - Log4j-Patch genügt nicht
Version 2.15.0 von Log4j sollte die Log4Shell-Sicherheitslücke schließen. Das reichte jedoch nicht. Log4j 2.16.0 behebt nun noch eine weitere Schwachstelle.

https://www.heise.de/news/Neue-Probleme-Log4j-Patch-genuegt-nicht-629534 ...
em-pie
em-pie 15.12.2021 um 22:07:44 Uhr
Goto Top
Hier ist mal der Ablauf/ Prozess ein wenig beschrieben:

https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-libr ...
Looser27
Looser27 16.12.2021 um 10:04:25 Uhr
Goto Top
Es gibt für den Unifi Controller ein weiteres Update, welches installiert werden sollte.

Hier wird log4j dann auf Version 2.16 gepatched.
Trommel
Trommel 16.12.2021 um 12:01:02 Uhr
Goto Top
Bobby Tables 2.0 sozusagen

kennzbt
Trommel
Trommel 16.12.2021 aktualisiert um 12:21:49 Uhr
Goto Top
Hier sind übrigens noch ein paar interessante Links.

Ursprünglicher JNDI resource lookup Thread
https://issues.apache.org/jira/browse/LOG4J2-313

EDIT:
Zitat: "JNDI lookup in it self is not a problem, problem is that user input is not sanitised and can include templates which can have JNDI lookup in them. I would expect user input with {} template symbols to be escaped and not evaluated."
Quelle aus interessanter Diskussion: https://news.ycombinator.com/item?id=29507357

Nachfrage nach Disable Lookup in Messages (2015 ganz unten)
https://issues.apache.org/jira/browse/LOG4J2-905

Entstehung log4j2.formatMsgNoLookups
https://issues.apache.org/jira/browse/LOG4J2-2109

Hier ist jemand schon mal über das Problem gestolpert
https://www.tasktop.com/blog-under-construction/log4j-2-the-ghost-in-the ...

Mahlzeit.
commodity
commodity 16.12.2021 aktualisiert um 21:37:32 Uhr
Goto Top
Hier mal wieder eine Liste (CISA) möglicher Weise betroffener Software. Sieht eindrucksvoll aus.

https://github.com/cisagov/log4j-affected-db

und vorsorglich auch nochmal die oben bereits verlinkte Liste des NCSC, die auch noch gewachsen ist.

https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

Beide sind nicht deckungsgleich.

Wer hat da kein Mitgefühl mit den Kollegen/Entwicklern, die das alles patchen dürfen. 8 Tage vor Weihnachten wünscht man sich sicher was anderes.

Viele Grüße, commodity
em-pie
em-pie 16.12.2021 um 21:36:38 Uhr
Goto Top
Beeindruckend, in der Tat.

Elasticsearch ist somit doch betroffen.
Und die Siemens-Software hatte ich gar nicht auf dem Schirm face-confused
em-pie
em-pie 16.12.2021 um 22:20:39 Uhr
Goto Top
Update bei Igel:

Achtung! Diese Nachricht stammt von einem externen Absender!
** Dear IGEL customer, following our previous communications regarding the Log4j vulnerability in IGEL products, please find updated information below on affected products and versions. **

[Updated] ISN 2021-11: UMS Log4j vulnerability
====================================

Updated 16 December 2021 (added affected versions, corrected mitigation for Elasticsearch on Windows)
First published 13 December 2021

CVSS 3.1 Base Score:10.0 (Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Summary
-------
A critical vulnerability, also known as Log4shell, has been found in the Log4j logging library. This affects the following IGEL products (other IGEL products are not affected)
 * IGEL Universal Management Suite (UMS), all versions since 5.09.100

Details
-------
The versions 2.0-beta9 up to 2.14.1 of the Log4j library are vulnerable to Remote Command Execution (RCE). This means that a remote attacker can execute commands over the network on software that contains the vulnerable Log4j versions. IGEL UMS and the Elasticsearch engine in the IGEL Web App are affected.
Exploit code is already available, and the issue is being actively exploited on the Internet. Therefore, IGEL strongly recommends applying the mitigations below and updating UMS installations as soon as a fixed version is available.
In a typical UMS installation, this issue is mitigated by the fact that UMS is not reachable from the Internet.

Update instructions
-------------------
 * A fixed version of UMS is in preparation. This document will be updated when it is available.

Mitigation
----------
UMS Server (Tomcat)
- - - - - - - - - -
On Windows
 1. Open Windows Explorer and navigate to {installation_path}/rmguiserver/bin
 2. Run editTomcatService.bat
 3. Click on the "Java" tab and add a new line in the text field "Java Options:": 
    -Dlog4j2.formatMsgNoLookups=true
 4. Click "OK" to save and close settings
 5.Run "services.msc", locate and restart "IGEL RMGUIServer"

On Linux
 1. Open UMS server service file, e.g.: vim /etc/systemd/system/igel-ums-server.service
 2. Find the line beginning "ExecStart=" and move forward to the line with
    -Dcatalina.home=${RM_HOME}/rmguiserver \
 3. Insert a new line after this line and add the following text:
    -Dlog4j2.formatMsgNoLookups=True \
 4. Make sure the line ends with a space followed by a backslash 
    The final lines should look like this:
    -Dcatalina.home=${RM_HOME}/rmguiserver \
    -Dlog4j2.formatMsgNoLookups=True \
    -Djava.io.tmpdir=${CATALINA_HOME}/temp \
 5. Save and exit the file
 6. Reload services: sudo systemctl daemon-reload
 7. Restart UMS server: sudo systemctl restart igel-ums-server

Elasticsearch (if UMS Web App is installed)
- - - - - - - - - - - - - - - - - - - - - - 
On Windows
 1. Open command prompt as Administrator
 2. Navigate to {installation_path}/elasticsearch/bin
 3. Execute "elasticsearch-service-mgr.exe //ES//igel-elasticsearch"
 4. Click on the "Java" tab and add a new line in the text field "Java Options:":
    -Dlog4j2.formatMsgNoLookups=true
 5. Click "OK" to save and close settings
 6. Run "services.msc", locate and restart "IGEL Search Indexer"

On Linux
 1. Open elastic search jvm.options  at {installation_path}/elasticsearch/config
 2. Insert a new line at the end and add the following text: 
    -Dlog4j2.formatMsgNoLookups=True
 3. Save and exit the file
 4. Restart the elasticsearch service:
    sudo systemctl restart igel-elasticsearch

References
 * CVE-2021-44228: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
 * BSI-Cyber-Sicherheitswarnung (in German only): https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf 

--------------------------------------------------------------------------------
IGEL Technology is represented by the IGEL Technology GmbH.
Head Office: IGEL Technology GmbH, Hermann-Ritter-Str. 110, 28197 Bremen, Germany
Tel: +49 421 52094 0, Fax: +49 421 52094 1499, Email: info@igel.com
mailto:info@igel.com

Managing Directors: Matthias Haas, Anja Schulz
Amtsgericht Bremen: HRB 20636, VAT: DE 219524359, WEEE-Reg.-No. DE 79295479
© 2021 IGEL. All rights reserved. All trademarks are the property of their respective owners.
If you no longer wish to receive marketing emails from IGEL, please click  here
http://marketing.igel.com/acton/rif/34989/s-0da1-2112/-/l-0f7f:15bf/l-0f7f/zout?sid=TV2%3AZuSRhbNH4
.
90948
90948 17.12.2021 um 07:03:30 Uhr
Goto Top
Für Docusnap u.a. gibt es ein Workaround wie man betroffene Systeme finden kann

https://www.docusnap.com/it-dokumentation/log4j-luecke-was-macht-sie-so- ...
Trommel
Trommel 17.12.2021 aktualisiert um 11:04:56 Uhr
Goto Top
Zitat von @commodity:

Hier mal wieder eine Liste (CISA) möglicher Weise betroffener Software. Sieht eindrucksvoll aus.

https://github.com/cisagov/log4j-affected-db

und vorsorglich auch nochmal die oben bereits verlinkte Liste des NCSC, die auch noch gewachsen ist.

https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

Beide sind nicht deckungsgleich.

Wer hat da kein Mitgefühl mit den Kollegen/Entwicklern, die das alles patchen dürfen. 8 Tage vor Weihnachten wünscht man sich sicher was anderes.

Viele Grüße, commodity

Oha, richtig .. da wird @aqui viel zutun haben seine ganzen Ubiquiti UniFi Network Controller zu patchen face-wink
ukulele-7
ukulele-7 17.12.2021 aktualisiert um 13:07:32 Uhr
Goto Top
ELO schreibt jetzt etwas konkreter:
Sehr geehrte ELO Kunden,

eine kürzlich bekannt gewordene Sicherheitslücke in der Java-Bibliothek Log4j gefährdet weltweit Millionen Onlineanwendungen. Die Schwachstelle CVE-2021-44228 für die Protokollierung von Ereignissen kann zur Remote-Ausführung von Code durch Dritte führen.

Von ELO entwickelte Server-Dienste, die u. a. unsere öffentliche API bereitstellen und potenziell im Internet verfügbar sind, setzen Log4j in der Version 2 nicht ein und sind somit nicht betroffen. Leider ist jedoch die aktuelle ElasticSearch-Version (ab ELO 10), der ELO Java Client (ab ELO 10) sowie ELO BLP in Version 5.2 potenziell betroffen.

Sicherheitsexperten weltweit arbeiten gerade mit Hochdruck an der Analyse. Wir empfehlen daher in jedem Fall, auf die von uns bereitgestellten, aktuellen Versionen zu aktualisieren und unsere Handlungsempfehlungen, die auch Ihrem Business Partner vorliegen, umzusetzen.

Bitte kontaktieren Sie daher umgehend Ihre interne IT und das betreuende ELO Systemhaus. Weitere Hinweise finden Sie auch hier.


Mit freundlichen Grüßen
ELO Digital Office
commodity
commodity 21.12.2021 um 13:16:29 Uhr
Goto Top
Jetzt geht's lohos! (log4j noch nicht bestätigt):

Ransomware bei CGM

Viele Grüße, commodity
Looser27
Looser27 22.12.2021 aktualisiert um 08:16:46 Uhr
Goto Top
Kam gestern von GFI bzgl. Kerio Connect:

 
We are pleased to announce that Kerio Connect 9.3.1p2 is available. This security release addresses the vulnerability related to Log4j, formally known as CVE-2021-44228.

 
Release notes: 
 
 	• Apache log4j2 library upgrade to version 2.16.0 (fixing CVE-2021-44228 vulnerability)


 
The new version can be downloaded from the GFI Upgrade Center. 

 
We recommend that all Kerio Connect customers install version 9.3.1p2 as soon as possible. 
 
Once Kerio Connect 9.3.1p2 is deployed, the chat function can be safely re-enabled. 

 
GFI Software

Heute morgen eingespielt.
chgorges
chgorges 23.12.2021 um 12:53:15 Uhr
Goto Top
Moin,

um das Thema auf dem Laufenden zu halten -> Log4j-core 2.16.0 ist auch anfällig; wird in CVE-2021-45105 dokumentiert.

UniFi hat noch kein Controllerupdate rausgegeben, die manuelle Updateanleitung gibts hier https://think.unblog.ch/en/how-to-fix-unifi-controller-log4j-vulnerabili ...

Wenn man schon auf Controller v6.5.55 ist, einfach die Stellen im Skript mit "2.13.3" mit "2.16.0" ersetzen.

VG
SirEistee
SirEistee 23.12.2021 um 14:26:54 Uhr
Goto Top
Zitat von @chgorges:

Moin,

um das Thema auf dem Laufenden zu halten -> Log4j-core 2.16.0 ist auch anfällig; wird in CVE-2021-45105 dokumentiert.

UniFi hat noch kein Controllerupdate rausgegeben, die manuelle Updateanleitung gibts hier https://think.unblog.ch/en/how-to-fix-unifi-controller-log4j-vulnerabili ...

Wenn man schon auf Controller v6.5.55 ist, einfach die Stellen im Skript mit "2.13.3" mit "2.16.0" ersetzen.

VG

2.16 auch?
Man dachte, man wäre mit 2.15 (halbwegs) auf der sicheren Seite.