Sicherheitslücke Log4Shell CVE-2021-44228

Vor einer Woche hat das BSI zum ersten mal die Warnstufe Rot ausgerufen. Durch die Sicherheitslücke Log4Shell CVE-2021-44228 im weit verbreiteten Framework Log4J sind potenziell fast alle Java-Anwendungen angreifbar. Log4J ist der De-facto-Standard für das Loggen von Java-Anwendungen. Deshalb sind weltweit sehr viele Anwendungen betroffen.

Für mich bedeutete die Sicherheitslücke jetzt erst mal eine anstrengende Arbeitswoche. Es galt alle Java-Anwendungen zu identifizieren, für die ich verantwortlich bin und das ist eine große Menge. Danach musste ich rausfinden, ob die entsprechende Anwendung tatsächlich Log4J verwendet. Und zu guter letzt musste ein Update eingespielt werden, sofern dies der Fall war.

Inzwischen habe ich alle Anwendungen überprüft und kann beruhigt Weihnachten feiern. Dazu bin ich wie folgt vorgegangen.

Wie findet man raus, ob eine Software betroffen ist?

Informationen des Herstellers

Informationen des Herstellers oder Programmierers sind natürlich der einfachste und beste Weg, um die Anfälligkeit eines Programms für diese Sicherheitslücke zu überprüfen. Ich persönlich habe bei betroffenen Anwendungen die folgenden Webseiten der Hersteller dazu genutzt:

Liste der Betroffenen Anwendungen auf GitHub

Sollte man bei Hersteller oder Programmierer solche Informationen nicht direkt finden, gibt es eine weitere Möglichkeiten, um diese zu feinden. Der französische Sicherheitsspezialist SwitHak pflegt bei GitHub eine Liste mit Aussagen der Hersteller die betroffen sind. Sofern eigene Anwendungen auf dieser Liste aufgeführt sind kommt man über einen Link zu den jeweiligen Informationen.

log4j-detector

MergeBase hat auf gitlab das Programm log4j-detector veröffentlicht, mit dessen Hilfe man nach verwundbaren Versionen von Log4J innerhalb von Java-Anwendungen suchen kann. Wenn man dieses auf dem Server mit einer Anwendung laufen lässt, durchsucht es alle Java Classen und meldet einem, wenn es dort eine verwundbare Version von Log4J findet.

Netzwerkscann

Eine weitere Möglichkeit für das aufspüren von verwundbaren Log4J Lücken ist das Scannen der Serverdienste über das Netzwerk mittels eines Vulnerability Scanners. Einer der bekanntesten Vulnerability Scanners ist OpenVAS von Greenbone, welchen ich für diesen Scann verwendet habe. Wie man dem Forumsbeitrag Testing for CVE-2021-44228 (Log4j/Log4Shell vulnerability) entnehmen kann, kann diese die Log4J Lücke auch bereits finden.

Um OpenVAS von Greenbone zum scanne zu verwenden, habe ich mir diesen schnell auf einer virtuellen Maschine mit Kali Linux installiert. Wie dies geht schildert der Blogbeitrag OpenVAS on Kali GNU/Linux Part 1: How to install OpenVAS von Staf Wagemakers.


Beitrag veröffentlicht

in

von

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

WordPress Cookie Hinweis von Real Cookie Banner