Überwachung auf Log4j2-Exploits mit Silverfort
Dezember 12th, 2021 Yaron Kassner
Apache Log4j ist ein Open-Source-Protokollierungsdienstprogramm auf Java-Basis, das häufig von Unternehmensanwendungen verwendet wird. Die Sicherheitsgemeinschaft hat kürzlich eine neue Log4jl-Schwachstelle (CVE-2021-44228) entdeckt, die es einem entfernten Angreifer, der Protokollfelder in einigen Anwendungen kontrolliert, ermöglicht, Log4j auszunutzen, um Code aus der Ferne in einer Zielanwendung auszuführen. Beispielsweise kann ein Angreifer eine Anwendung dazu veranlassen, ein Feld zu protokollieren, das eine Zeichenfolge in der Form ${jndi:} enthält. Wenn der Angreifer die Anwendung veranlasst, eine Zeichenfolge in der Form ${jndi:} zu protokollieren, greift die Anwendung auf die URL ldap://example.com/a zu, um eine zu laden Objekt. Wenn der Hacker example.com kontrolliert, kann der Angreifer diese Schwachstelle ausnutzen, um ein Objekt seiner Wahl in den Speicher der Anwendung zu laden.
Diese Schwachstelle wurde aufgrund ihrer weitreichenden Auswirkungen mit HeartBleed und ShellShock verglichen. Die meisten Anwendungen, die Java verwenden, verwenden log4j2 für die Protokollierung, sodass eine Vielzahl von Anwendungen und Systemen in Ihrer Umgebung betroffen sein können. Es gibt mehrere Berichte über die Massennutzung dieser Schwachstelle in freier Wildbahn mit einer schnell wachsenden Anzahl von Exploit-Varianten; mehr als 60 davon traten innerhalb von 24 Stunden nach der ersten Offenlegung der Schwachstelle auf.
Silverfort hat seinen Code überprüft und keine anfällige Verwendung von log4j2 durch das Produkt gefunden.
Laut CloudFlare, wird die Sicherheitslücke bereits ausgenutzt und Angreifer nutzen häufig das Feld „Benutzername“, um diese Sicherheitslücke auszunutzen. Dies ist sinnvoll, da das Feld „Benutzername“ häufig als fehlgeschlagen protokolliert wird Beglaubigung Anfragen.
Silverfort überwacht alle Authentifizierungsanforderungen in der Umgebung und kann zur Prüfung auf diese Log4Shell-Exploits verwendet werden, indem die Verwendung der Zeichenfolge „${jndi:“ in Authentifizierungsanforderungen gemeldet wird. Sicherheitsteams wird empfohlen, ihre Software so schnell wie möglich zu aktualisieren und zu prüfen, ob ihre anfälligen Server möglicherweise vor dem Patch kompromittiert wurden.
Fragen? Waren immer hier für dich. prüfen
