×

Was ist passiert?

Die Log4j-Schwachstelle hat kürzlich weltweit für Schlagzeilen gesorgt. Die Bedenken im Zusammenhang mit dieser Schwachstelle konzentrieren sich auf die Tatsache, dass ein Angreifer, der die Kontrolle über die Protokollnachrichten oder die Parameter der Protokollnachrichten hat, beliebigen Code ausführen kann, der von LDAP-Servern geladen wird, wenn das Feature “message lookup substitution” aktiviert ist. Dies bedeutet, dass Geräte, die dem Internet ausgesetzt sind (wollen wir hier mal ein Beispiel nehmen?) und auf denen Apache Log4j Version 2.0 bis 2.14.1 NCSC Notes mit Log4j Version 2 (Log4j2) läuft, anfällig sind.

Wie sind die Aussichten?

Die eigentlichen Ausmaße dieser Vulnerabilität sind noch nicht absehbar. Log4Shell hat ein CVSS Sore von 10.0 erhalten. Das ist für das letzte Jahrzehnt fast ein Einzelfall. Microsofts Mimecraft (völlig auf Java basierend) war nebst Ali Baba eine der ersten Plattformen, die betroffen waren.

Betriebssysteme von Microsoft profitieren davon geschlossen und nicht Opensource zu sein, jedoch ist dies auch kein Grund zur Entwarnung. Es sollte die Bereitschaft Firmenintern zu sämtlichen Produkten unabhängig davon, ob Apache oder diese Libraries genutzt werden zu patchen für alle IT-Produkte Hersteller unabhängig steigen. Ransomware Gruppen (zum Teil staatlich gesponsert) versuchen derzeit automatisiert and KI-bewaffnet z.B. der Mirai Linux botnet hat seit dem 11.Dezember 2021 adaptiert das gesamte Internet nach Log4j Schwachstellen zu durchsuchen. Ziel dabei ist es jeglichen offenen Internetdienst ausfindig zu machen und mit RCE (Remote Code Execution) und im Falle von der PowerShell Backdoor „CharmPower“ Zugriff zu erhalten, sich lateral auszuweiten und oftmals erst nach Monaten Command and Control der Systeme zu übernehmen, nach Informationen auszumerzen und zu korrumpieren.

Hinweis: Wenn Sie auf der Suche nach den neuesten Erkenntnissen über aktuelle Angriffe oder Trends bei Cyberbedrohungen sind, empfehlen wir Ihnen die Lektüre und das Abonnement des Threat Advisory von SKOUT Cybersecurity.

Weitere Infos finden Sie hier:

Update von Barracuda

Sicherheit hat für Barracuda Networks und Barracuda MSP höchste Priorität. Unsere Analyse bestätigt, dass derzeit keines unserer Produkte anfällige Log4j-Versionen verwendet, die mit CVE-2021-44228 in Verbindung stehen. Darüber hinaus haben externe Scans gegen unsere Produkte und Produktionshosts keine tatsächliche Gefährdung innerhalb unserer Umgebung festgestellt. Bitte besuchen Sie das Barracuda Trust Center, um auf dem Laufenden zu bleiben, da wir auch weiterhin weitere Updates veröffentlichen werden.

Unsere Produkt- und Sicherheitsteams führen derzeit ganzheitliche Überprüfungen unserer Infrastruktur, Tools und Dienste von Drittanbietern durch, um mögliche Schwachstellen zu identifizieren und zu beheben.

Was bedeutet das für MSPs? 

Schritte, die wir zum weiteren Schutz unserer Kunden unternommen haben:

Sie nutzen Barracuda RMM? Wir haben ein neues Skript eingeführt, das es Partnern, die Barracuda RMM verwenden, ermöglicht, in den Umgebungen ihrer Kunden nach der Log4j-Schwachstelle CVE-2021-44228 zu suchen. Das Skript identifiziert potenziell anfällige und gefährdete Geräte und teilt die Details über Barracuda RMM mit.

Barracuda WAF-as-a-Service: Wir führen neue Signaturen ein, um Log4j-Exploit-Versuche zu erkennen und zu blockieren. Diese Signaturen wurden aktualisiert, um die neuesten Ausweichmanöver zu behandeln, die ab dem 13.12.2021 in der Praxis beobachtet wurden. Diese Signaturen und Einstellungen blockieren sowohl GET- als auch POST-Anfragen, die auf diesen Exploit abzielen.

Diese Signaturen erkennen zwar die bisher gesichteten Varianten, werden aber laufend aktualisiert, sobald neue Varianten auftauchen. Als Best Practice empfehlen wir, Ihre Log4j-Installationen auf die neuesten Versionen zu patchen, in denen dieses Problem behoben ist.

Barracuda Web Application Firewall & Barracuda CloudGen WAF: Die neuesten Signaturen für diese Schwachstelle werden an die Geräte vor Ort ausgeliefert. Diese Signaturen und Einstellungen blockieren sowohl GET- als auch POST-Anfragen, die auf diese Schwachstelle abzielen. Diese Signaturen erkennen zwar die bisher gesichteten Varianten, werden aber laufend aktualisiert, sobald neue Varianten auftauchen. Als Best Practice empfehlen wir, Ihre Log4j-Installationen auf die neuesten Versionen zu patchen, in denen dieses Problem behoben ist.

Um mehr über die neuen Signaturen und Einstellungen zu erfahren, die für diese Entschärfung erforderlich sind, lesen Sie bitte dieses Dokument in Barracuda Campus.

Barracuda SKOUT Managed XDR: Es wurden benutzerdefinierte Regeln implementiert, um diesen Exploit in SKOUT Managed XDR Log und Network Security Monitoring Lösungen zu erkennen und zu aktualisieren. Wir empfehlen, dass Sie diesen Patch sofort auf andere Software von Drittanbietern anwenden. Eine vollständige Liste der betroffenen Versionen der Log4j-Bibliothek finden Sie unten.

Alle 2.x-Versionen von Log4j vor 2.15.0 (veröffentlicht am Freitag, 10. Dezember 2021) sind betroffen.

Die folgenden JVM-Versionen sind ebenfalls betroffen:

  • Java 6 - 6u212
  • Java 7 - 7u202
  • Java 8 - 8u192
  • Java 11 - 11.0.2 

Wir empfehlen unseren Partnern, die Umgebungen mit Log4j verwalten, dringend, auf die neueste Version zu aktualisieren, die unter https://logging.apache.org/log4j/2.x/download.html verfügbar ist.
RUFEN SIE UNS AN:

DACH:

+49 157 35992801

UK/I:

+44 0 118 338 4600

SCHREIBEN SIE UNS EINE E-MAIL:

Allgemein:

info@barracudamsp.com

Sales:

sales@barracudamsp.com

Rechnungsanfragen:

billing@barracudamsp.com

Support: 

support@barracudamsp.com

Starten Sie noch heute mit Barracuda MSP!

list icon

Reaktionsmöglichkeiten von MSPs in Zeiten von Corona

Whitepaper
video icon

Wie können Sie mit Barracuda MSP Herausforderungen in der Krise meistern

Webinar
video icon

Klick ich oder Klick ich nicht? Email Security Strategien

Webinar
contact icon

Vereinbaren Sie einen Termin

TERMINANFRAGE