Am 9. Dezember 2021 wurde im Apache Log4j-Modul eine Sicherheitslücke mit der höchsten Gefahrenstufe — CVSS 10 — gefunden. Die Lücke wurde bereits Log4Shell genannt. Die Sicherheitslücke ermöglicht die externe Ausführung von beliebigem Code und versetzt Angreifer in die Lage, nahezu vollständige Kontrolle über die Server des Opfers zu erlangen.
Angesichts der weiten Verbreitung dieses Moduls sind Millionen von Java-Dienste gefährdet.
Aber wenn Sie mit unserem Anwendungsschutz verbunden sind, müssen Sie sich keine Sorgen machen. Wir haben bereits alle Maßnahmen zum Schutz unserer Kunden getroffen.
Log4Shell, oder CVE-2021-44228, ist eine Sicherheitslücke, die mit der Remote Code Execution (RCE) zusammenhängt, d.h. sie ermöglicht die Ausführung von beliebigem Code auf einem Server von außerhalb, ohne Authentifizierung.
Alle Java-Dienste und APIs die das Log4j-Log nutzen, sind gefährdet. Das Log ist sehr beliebt, so gibt es wahrscheinlich Millionen Opfer.
Das Hauptproblem dieser Sicherheitslücke ist, dass sie recht leicht auszunutzen ist — selbst ein unerfahrener Hacker kann einen Angriff erfolgreich durchführen.
Um Zugriff auf eine Ressource zu erhalten, muss ein Angreifer nur eine spezielle Anfrage senden. Das ermöglicht dem Hacker, eigenen Code in eine Anwendung oder API hochzuladen.
Um Ihre Webseite zu schützen, aktivieren Sie Standard-Web-Schutz (WAF). Es ist ein vorinstalliertes Sicherheitstool unseres Netzwerks. Der Standard-Web-Schutz ist für alle CDN-Tarife (einschließlich kostenloses) verfügbar.
Log4Shell-Sicherheitslücke ist schon in einem kürzlich veröffentlichten Update unserer Bibliothek mit bekannten Malware-Signaturen.
Wir leiten den gesamten Datenverkehr durch ein Filtersystem. Jede verdächtige Anfrage, einschließlich der Nutzung der Log4Shell-Sicherheitslücke, wird am Eingang blockiert.
Wir verhindern, dass Angreifer bösartigen Code ausführen, und bieten zuverlässigen Webschutz für Ihre Webseiten und Anwendungen.
Zunächst einmal sollten Sie Apache Log4j auf die neueste Version aktualisieren.
Wenn es aus irgendeinem Grund keine Möglichkeit zur Aktualisierung gibt, verwenden Sie diese Empfehlungen.
log4j2.formatMsgNoLookups
oder die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS
auf true
setzen.%m{nolookups}
anstelle des einfachen %m
an.zip q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
.Der zuverlässigste Weg zur Absicherung Ihrer Ressourcen ist jedoch die Aktivierung des Schutzes.
Wir überwachen das Auftreten neuer Schwachstellen und aktualisieren unsere Algorithmen so schnell wie möglich. So müssen Sie sich keine Sorgen um die Sicherheit Ihrer Ressourcen machen und keine Notmaßnahmen ergreifen, um sie zu schützen. Ihre Webanwendungen und APIs sind sicher.