Inhaltsverzeechnes[Verstoppen][Show]
Log4Shell, eng Internet Schwachstelle, huet viru kuerzem Millioune Maschinnen betraff. Log4j, en obskur awer bal ubiquitescht Stéck Software, verursaacht et.
Log4j gëtt benotzt fir all d'Aktiounen ze protokolléieren déi hannert de Kulissen a verschiddene Computersystemer optrieden.
Et baséiert op enger Open-Source Logbibliothéik déi vu Geschäfter a souguer Regierungsorganisatiounen an de meeschten Uwendungen benotzt gëtt.
Als ee vun de schlëmmste Cybersécherheetslächer déi jeemools entdeckt goufen, ass et kritesch fir Är Systemer vun dëser Schwachstelle ze schützen. Mee wéi?
Loosst eis d'Log4j Schwachstelle am Detail entdecken an all méiglech Fixléisungen dofir.
Wat ass Log4j?
Log4j ass an Open-Source logging Kader deen Software Entwéckler erlaabt verschidden Donnéeën an hiren Uwendungen opzehuelen. Et ass e Bestanddeel vum Apache Logging Services Projet, dee vun der Apache Software Foundation.
Honnerte vu Websäiten an Apps benotzen Log4j fir kritesch Operatiounen auszeféieren, wéi Logdaten fir Debugging an aner Benotzung.
Wann Dir op e schlechten Online Link aginn oder klickt an e 404 Feeler Notiz kritt, ass dëst e dacks Beispill vu Log4j op der Aarbecht. De Webserver deen d'Domain vum Weblink leeft, deen Dir probéiert hutt Zougang ze kréien, informéiert Iech datt keng esou Websäit existéiert. Et protokolléiert och d'Evenement am Log4j fir d'Systemadministratoren vum Server.
Duerch Software Programmer ginn ähnlech diagnostesch Signaler benotzt. Am Online-Spill Minecraft, zum Beispill, benotzt de Server Log4j fir Aktivitéit ze protokolléieren wéi den Total RAM benotzt a Benotzerinstruktiounen an d'Konsol geschéckt.
Wéi geschitt d'Schwachheet?
Lookups sinn eng nei Feature, déi am Log4j 2.0 agefouert gëtt, wat hëlleft zousätzlech Informatioun an de Log-Entréen ze integréieren. Ee vun dëse Lookups ass de JNDI (Java Naming and Directory Interface) Lookup, wat eng Java API ass fir mat engem Verzeechnesservice ze kommunizéieren.
Mat dëser Approche kënnen intern Benotzer-IDen op aktuell Benotzernimm gemoolt ginn. Dës Ufro beliicht déi nei entdeckt RCE Schwachstelle, well eng vun den Datentypen, déi vum LDAP-Server geliwwert ginn, en URI ass, deen op eng Java-Klass weist, déi dann an d'Erënnerung gelueden gëtt a vun der Log4j Instanz leeft.
Wéinst enger Schwächt an der Inputvalidatioun vun der Log4j-Bibliothéik ass et méiglech en arbiträren LDAP-Server vun enger net zouverléisseger Quell ze injizéieren. Well d'Entwéckler dovun ausgoen datt Daten, déi an d'Logbicher geschéckt ginn, als Kloertext gehandhabt ginn, gëtt keng extra Inputvalidatioun duerchgefouert, a geféierleche Benotzerinput geet an d'Logbicher.
Eng Log Ausso kéint esou ausgesinn:
E béisaarteg Benotzer géif elo e JNDI Lookup asetzen, deen op e schlëmmen LDAP Server an engem URL Parameter bezitt. D'JNDI Lookup wier wéi follegt:
D'Log4j-Bibliothéik schwätzt dann mat dësem LDAP-Server op attacker.com fir Verzeechnesinformatioun ze kréien, dorënner Wäerter fir d'Java Factory an d'Java Codebase.
Dës zwee Wäerter enthalen dem Ugräifer seng Java Klass, déi dann an d'Erënnerung gelueden an duerch d'Log4j Instanz ausgefouert gëtt, fir d'Code Ausféierung ofzeschléissen.
Wie riskéiert?
D'Log4j Schwachstelle ass onheemlech breet, beaflosst Geschäftsapplikatiounen, embedded Geräter, an hir Subsystemer. Betraff Apps enthalen Cisco Webex, Minecraft, a FileZilla FTP.
Allerdéngs ass dëst op kee Fall eng ganz Lëscht. De Feeler beaflosst souguer d'Ingenuity Mars 2020 Chopper Missioun, déi Apache Log4j fir Eventopname benotzt.
D'Sécherheetsgemeinschaft huet eng zesummegesat Lëscht vun vulnerabel Systemer. Et ass entscheedend ze bemierken datt dës Lëschte kontinuéierlech aktualiséieren, also wann e bestëmmte Programm oder System net präsent ass, gitt net un datt et net betraff ass.
Belaaschtung fir dës Schwachstelle ass ganz wahrscheinlech, an och wann eng spezifesch technesche Stack gëlt Java net, Sécherheetsleit solle kritesch Zouliwwerersystemer, SaaS Liwweranten, Cloud Hosting Ubidder, a Webserver Ubidder erwaarden fir dat ze maachen.
Wéi kontrolléiert ech op Log4j Schwachstelle?
Den éischte Schrëtt ass ze bestëmmen ob en Attentat scho geschitt ass. Dir kënnt dat maachen andeems Dir d'Systemprotokoller fir RCE Notzlaaschtfragmenter iwwerpréift.
Wann eng Sich no Begrëffer wéi "jndi", "ldap" oder "$::" all Logbicher erliewt, sollten d'Sécherheetsfuerscher weiderfuere fir ze kucken ob et e legitimen Attack war oder just Fangerofdrock.
Vill Attentater an der Wëld goufen entdeckt déi keng schiedlech Notzlaascht geliwwert hunn. Trotzdem goufen se vu Sécherheetsexperten duerchgefouert fir ze bestëmmen wéi vill Apps vulnérabel waren fir dësen Attack.
De nächste Schrëtt ass d'Log4j Bibliothéik ze benotzen fir all Projeten z'identifizéieren. Wann Versiounen tëscht 2.0-beta9 an 2.14.1 benotzt ginn, kann de Projet ufälleg sinn.
Wéinst der Schwieregkeet fir ze bestëmmen wou dës Schwachstelle existéiert, kann et léiwer sinn datt de Projet ufälleg ass an datt d'Aktualiséierung vun der Bibliothéik de beschte Wee ass fir d'Gefor vu Code Ausféierung ze läschen.
De Projet ass net vulnérabel wann déi benotzt Versioun manner wéi 2.0-Beta 9 ass, obwuel d'Log4j Bibliothéik nach ëmmer Upgrade soll ginn, well d'Versioune vun der 1.x Gamme al sinn a keng Updates méi kréien.
Ob e ufälleg Projet entdeckt gëtt, et gëtt ugeroden datt et iwwerpréift gëtt fir ze kucken ob all Informatioun déi mat Log4j protokolléiert ass Informatioun enthält déi de Benotzer kann änneren. URLen, Ufroparameter, Header a Cookien si Beispiller vun dësen Donnéeën. Wann ee vun dëse protokolléiert ass, ass de Projet a Gefor.
Dëst Wëssen kann Iech hëllefen Iech weider an d'Systemprotokoller ze verdéiwen an ze bestëmmen ob Är Webapplikatioun scho attackéiert gouf.
Et gi gratis Online Tools déi entdecken kënnen ob eng Webapplikatioun vulnérabel ass. Ee vun dëse Programmer ass Log4Shell Huntress. Et ass Open-Source a verfügbar op GitHub.
Wann e vulnérabelt Codeberäich an der Online-Applikatioun entdeckt gëtt, kann d'Notzlaascht, déi vum verëffentlechten Tool zur Verfügung gestallt gëtt, benotzt ginn fir se an d'Webapplikatioun ze sprëtzen. D'Testinstrument géif d'Verbindungen tëscht Ärer Webapplikatioun an hirem LDAP-Server verroden, wann d'Schwachheet ausgenotzt gouf.
Léisunge fir Log4j Schwachstelle ze fixéieren
Den éischte Schrëtt ass de Log4j ze aktualiséieren, wat Dir maache kënnt andeems Dir déi normal Packagemanager benotzt oder direkt vun dësem erofluet Säit.
Et ass och méiglech d'Ausbeutbarkeet vun der Schwachstelle ze reduzéieren andeems Dir d'Ëmfeldvariabel FORMAT MSG NO LOOKUPS op richteg setzt. Dës Géigemoossnam ass awer nëmmen applicabel fir Log4j Versioune méi grouss wéi oder gläich wéi 2.10.
Loosst eis elo alternativ Optiounen betruechten.
1. Léisunge fir Log4j Versioun 2.17.0
Et ass definitiv staark ugeroden Log4j Versioun 2.15.0 ze benotzen fir géint Log4Shell ze schützen, awer wann dëst net méiglech ass, sinn aner Léisunge verfügbar.
Versioune 2.7.0 a méi spéit vu Log4j: Et ass machbar géint all Attack ze schützen andeems Dir d'Format vun den Eventer ännert fir ze protokolléieren mat der Procent m nolookups Syntax fir d'Donnéeën, déi vum Benotzer geliwwert ginn. Dësen Update erfuerdert d'Ännerung vun der Log4j Konfiguratiounsdatei fir eng nei Versioun vum Programm ze generéieren. Als Resultat, ier Dir dës nei Versioun ofsetzt, mussen déi technesch a funktionell Validatiounsstadien widderholl ginn.
Log4j Versiounen 2.10.0 a méi spéit: Et ass och méiglech géint all Attack ze schützen andeems Dir de log4j2.formatMsgNoLookups Konfiguratiounsparameter op richteg setzt, zum Beispill wann Dir d'Java virtuell Maschinn mat der Optioun -Dlog4j2 start. formatMsgNoLookups = wouer, Eng aner Optioun ass d'JndiLookup Klass aus dem Classpath Argument ze läschen, wat den Haaptattackvektor ewechhuelt (d'Fuerscher ausschléissen d'Méiglechkeet vun engem aneren Attackvektor net aus).
Amazon Web Services bitt en Hotpatch deen "soll op Ären eegene Risiko benotzt ginn." Aner "Techniken", wéi Logout4Shell, déi "dës Schwachstelle géint sech selwer benotzt", goufen publizéiert. De Sécherheetsexpert stellt d'Legalitéit vun dëser Beweegung a Fro, wat "eng Maschinn hacken fir se ze fixéieren."
2. De Problem gouf am Log4j v2.17.0 geléist.
Fir Versioune méi wéi 2.10: Log4j2.formatMsgNoLookups soll op richteg gesat ginn.
Fir Versiounen 2.0 duerch 2.10.0: Fëllt de folgende Kommando aus fir d'LDAP Klass aus Log4j ze läschen.
Log4j2.formatMsgNoLookups soll an de System Astellunge richteg agestallt ginn.
Mitigatioun an JVM
Mitigatioun mat JVM Parameteren ass net méi eng Optioun. Aner mitigéierend Methoden sinn weider erfollegräich. Upgrade op Log4j Versioun 2.17.0 wa méiglech. Et gëtt e Migratiounsguide verfügbar fir Log4j v1.
Wann en Update net méiglech ass, vergewëssert Iech datt d'Client-Säit- a Server-Säit Komponenten de -Dlog4j2.formatMsgNoLookups = richteg Systemeigenschaftsset hunn.
Notéiert w.e.g. datt Log4j v1 säin Enn vum Liewen (EOL) erreecht huet a keng Bugfixes méi kritt. Aner RCE Vecteure sinn och ufälleg fir Log4j v1. Dofir fuerdere mir datt Dir esou séier wéi méiglech op Log4j 2.17.0 upgrade.
3. Mitigatiounsmoossnamen
Aktuell Ausnotzen kënnen net funktionnéieren och wann Log4j an e puer Fäll ufälleg ass, sou wéi wann d'Hostmaschinn eng Java Versioun méi héich wéi 6u212, 7u202, 8u192 oder 11.0.2 leeft.
Dëst ass wéinst engem bessere Java Naming and Directory Interface (JNDI) Fernklass Luedeschutz an aktuellen Versiounen, wat néideg ass fir den Attack ze bedreiwen.
Ausserdeem, mat Log4j Versioune méi grouss wéi 2.10, kann d'Thema vermeit ginn andeems Dir de FormatMsgNoLookups Systemwäert op richteg setzt, d'JVM Argument -Dlog4j2.formatMsgNoLookups = true, oder d'JndiLookup Klass aus dem Klassewee läscht.
An der Tëschenzäit, bis déi vulnérabel Instanzen fixéiert sinn, kann d'Schwachheet mat den Techniken hei ënnen adresséiert ginn:
- Setzt d'Systemeigenschaft log4j2.formatMsgNoLookups op wouer fir >=2.10.
- Setzt d'Ëmweltoptioun LOG4J FORMAT MSG NO LOOKUPS op wouer fir >=2.10.
- Ewechzehuelen JndiLookup.class vum Classpath fir 2.0-beta9 bis 2.10.0: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Eng recommandéiert bescht Praxis ass den Ausgangsverkéier op den Internet op nëmmen déi entspriechend Ports ze limitéieren.
Och wann déi meescht Attacken am Feld iwwer HTTP geliwwert ginn, kann d'Schwachheet iwwer all Protokoll exploitéiert ginn, deen d'Benotzerinputdaten mat Log4j protokolléiert.
Wéi och ëmmer, d'Aktualiséierung op log4j 2.17.0 ass déi bescht Recours well iergendeen eng zousätzlech Approche zum Thema entdecken kann. Ausserdeem hu vill Verëffentlecher an Hiersteller Verbesserunge fir hir Servicer oder Apps ugekënnegt.
4. Log4Shell Schwachstelle Patch
Log4j ass omnipräsent, besonnesch elo datt d'Schwachheet ausgenotzt gëtt. Fir ze resuméieren, alles wat Dir maache musst ass déi folgend Zeechen an de Logbicher, déi vum Log4j gepréift ginn, enthalen.
An dëst wäert d'Java Datei um Enn vun der URL eroflueden an ausféieren. Et ass sou einfach wéi et dramatesch ass.
Wéi Dir wësst, ass et kritesch fir Log4j op Versioun>= 2.17.0 ze upgrade fir dës Log4Shell Schwachstelle (CVE-2021-44228) ze léisen.
Wann dëst net méiglech ass:
Fir Uwendungen déi d'Log4j Bibliothéik Versiounen 2.10.0 a méi spéit benotzen, ass et och méiglech géint all Attack ze schützen andeems Dir de Konfiguratiounsparameter log4j2.formatMsgNoLookups op richteg setzt, zum Beispill, wärend der Java virtueller Maschinn mat der -Dlog4j2.formatMsgNoLookups = richteg ufänkt Optioun.
Eng aner Optioun ass d'JndiLookup Klass aus dem Classpath Argument ze läschen, wat de primäre Attackvektor ewechhuelt (d'Fuerscher ausschléissen d'Existenz vun engem aneren Attackvektor net aus).
Notéiert
Organisatiounen déi zéckt oder net wëllen Upassungen un ufälleg Systemer maachen (oder déi awer wëllen extra Sécherheetsmoossnamen installéieren) sollten iwwerdenken:
- Vergewëssert Iech datt all Traffic duerch en iSensor/WAF/IPS. Dëst kann den Attentat verhënneren Zougang zum System ze kréien.
- Limitéiert de Betrag vum Traffic, deen de ufällege System erreechen kann Wann de System net mam Internet verbonne muss sinn, beschränkt den Zougang zu just essentielle an vertrauenswierdeg IPS a Beräicher.
- Reduzéiert den autoriséierten Ausgangsverkéier vum Host. Well dësen Attack funktionéiert andeems Dir mat engem schlëmme Server verbënnt, sollten all iwwerflësseg IP Adressen a Ports op enger Firewall blockéiert ginn.
- Wann de Service net méi erfuerderlech ass, sollt et ausgeschalt ginn bis eng Fix fäerdeg ass.
Konklusioun
D'Log4j Mängel hunn eis Gemeinschaft schockéiert an eis all erënnert wéi ofhängeg mir op Open-Source Software sinn.
Log4j ass eenzegaarteg. Et ass weder e Betribssystem, nach ass et e Browser, nach eng Software. Et ass éischter wat Programméierer als Bibliothéik, e Package oder e Codemodul bezeechnen. Et déngt just een Zweck, dat ass, e Rekord ze halen wat op engem Server geschitt.
Leit déi Code schreiwen léiwer konzentréieren op dat wat hir Software ënnerscheedlech mécht. Si sinn net interesséiert d'Rad nei ze erfannen. Als Resultat vertrauen se op eng Onmass vu existente Codebibliothéiken, wéi Log4j.
De Log4j Modul ass ofgeleet vun Apache, déi meescht benotzt Webserver Software. Dofir kann et op Millioune Serveren entdeckt ginn. Dofir erhéicht d'Sécherheetsbedrohungen.
Ech hoffen déi uewe genannte Léisungen hëllefen Iech Är Apparater sécher ze halen.
Bleift ofgeschloss op HashDork fir méi hëllefräich Informatioun aus der Tech Welt.
Hannerlooss eng Äntwert