Sicherheitslücke Log4Shell CVE-2021-44228

Vor einer Woche hat das BSI zum ersten mal die Warnstufe Rot ausgerufen. Durch die Sicherheitslücke Log4Shell CVE-2021-44228 im weit verbreiteten Framework Log4J sind potenziell fast alle Java-Anwendungen angreifbar. Log4J ist der De-facto-Standard für das Loggen von Java-Anwendungen. Deshalb sind weltweit sehr viele Anwendungen betroffen.

Für mich bedeutete die Sicherheitslücke jetzt erst mal eine anstrengende Arbeitswoche. Es galt alle Java-Anwendungen zu identifizieren, für die ich verantwortlich bin und das ist eine große Menge. Danach musste ich rausfinden, ob die entsprechende Anwendung tatsächlich Log4J verwendet. Und zu guter letzt musste ein Update eingespielt werden, sofern dies der Fall war.

Inzwischen habe ich alle Anwendungen überprüft und kann beruhigt Weihnachten feiern. Dazu bin ich wie folgt vorgegangen.

Wie findet man raus, ob eine Software betroffen ist?

Informationen des Herstellers

Informationen des Herstellers oder Programmierers sind natürlich der einfachste und beste Weg, um die Anfälligkeit eines Programms für diese Sicherheitslücke zu überprüfen. Ich persönlich habe bei betroffenen Anwendungen die folgenden Webseiten der Hersteller dazu genutzt:

Liste der Betroffenen Anwendungen auf GitHub

Sollte man bei Hersteller oder Programmierer solche Informationen nicht direkt finden, gibt es eine weitere Möglichkeiten, um diese zu feinden. Der französische Sicherheitsspezialist SwitHak pflegt bei GitHub eine Liste mit Aussagen der Hersteller die betroffen sind. Sofern eigene Anwendungen auf dieser Liste aufgeführt sind kommt man über einen Link zu den jeweiligen Informationen.

log4j-detector

MergeBase hat auf gitlab das Programm log4j-detector veröffentlicht, mit dessen Hilfe man nach verwundbaren Versionen von Log4J innerhalb von Java-Anwendungen suchen kann. Wenn man dieses auf dem Server mit einer Anwendung laufen lässt, durchsucht es alle Java Classen und meldet einem, wenn es dort eine verwundbare Version von Log4J findet.

Netzwerkscann

Eine weitere Möglichkeit für das aufspüren von verwundbaren Log4J Lücken ist das Scannen der Serverdienste über das Netzwerk mittels eines Vulnerability Scanners. Einer der bekanntesten Vulnerability Scanners ist OpenVAS von Greenbone, welchen ich für diesen Scann verwendet habe. Wie man dem Forumsbeitrag Testing for CVE-2021-44228 (Log4j/Log4Shell vulnerability) entnehmen kann, kann diese die Log4J Lücke auch bereits finden.

Um OpenVAS von Greenbone zum scanne zu verwenden, habe ich mir diesen schnell auf einer virtuellen Maschine mit Kali Linux installiert. Wie dies geht schildert der Blogbeitrag OpenVAS on Kali GNU/Linux Part 1: How to install OpenVAS von Staf Wagemakers.

Cisco ASDM 6.1(5) läuft nicht mit Java 6 Update 10

Nachdem Cisco dauernd von den neuen, tollen Möglichkeiten der ASA Software 8.x und des ASDM 6.x schwärmt wollte ich mir diese auch mal anschauen. Nachdem ich die auf einer ASA5505 die ASA Software 8.0(4) und den ASDM 6.1(5) installiert hatte und mit meinem Browser auf den ASDM wollte bekam ich jedoch den folgenden Fehler: Unconnected sockets not implemented.

Cisco ADSM Error

Zuerst dachte ich, dass es an meinem Notebook (Ubuntu Linux / Firefox) liegt. Wäre ja nicht das erste mal, dass Firefox unter Linux Probleme mit bestimmten Java-Programmen hat. Allerdings trat das Problem auch unter Windows Vista, einem Internet Explorer 7, Java 6 und allen Sicherheitsupdates auf. Nach einer Internetsuche fand ich eine Beschreibung des Problems in dem The Network Guy Blog. Es wird offensichtlich durch das Update 10 für Java 6 ausgelöst. Bis jetzt konnte ich leider noch keine andere Lösung finden, als ein älteres Java zu verwenden.