Wie Sie sich vor der Log4Shell-Sicherheitslücke schützen (CVE-2021-44228)

Am 9. Dezember 2021 wurde im Apache Log4j-Modul eine Sicherheitslücke mit der höchsten Gefahrenstufe — CVSS 10 — gefunden. Die Lücke wurde bereits Log4Shell genannt. Die Sicherheitslücke ermöglicht die externe Ausführung von beliebigem Code und versetzt Angreifer in die Lage, nahezu vollständige Kontrolle über die Server des Opfers zu erlangen.

Angesichts der weiten Verbreitung dieses Moduls sind Millionen von Java-Dienste gefährdet.

Aber wenn Sie mit unserem Anwendungsschutz verbunden sind, müssen Sie sich keine Sorgen machen. Wir haben bereits alle Maßnahmen zum Schutz unserer Kunden getroffen.

Worin liegt die Gefahr der neuen Sicherheitslücke und warum ist sie so gefährlich?

Log4Shell, oder CVE-2021-44228, ist eine Sicherheitslücke, die mit der Remote Code Execution (RCE) zusammenhängt, d.h. sie ermöglicht die Ausführung von beliebigem Code auf einem Server von außerhalb, ohne Authentifizierung.

Alle Java-Dienste und APIs die das Log4j-Log nutzen, sind gefährdet. Das Log ist sehr beliebt, so gibt es wahrscheinlich Millionen Opfer.

Das Hauptproblem dieser Sicherheitslücke ist, dass sie recht leicht auszunutzen ist — selbst ein unerfahrener Hacker kann einen Angriff erfolgreich durchführen.

Um Zugriff auf eine Ressource zu erhalten, muss ein Angreifer nur eine spezielle Anfrage senden. Das ermöglicht dem Hacker, eigenen Code in eine Anwendung oder API hochzuladen.

Wie G-Core Labs Kunden vor der neuen Sicherheitslücke schützt

Um Ihre Webseite zu schützen, aktivieren Sie Standard-Web-Schutz (WAF). Es ist ein vorinstalliertes Sicherheitstool unseres Netzwerks. Der Standard-Web-Schutz ist für alle CDN-Tarife (einschließlich kostenloses) verfügbar.

Log4Shell-Sicherheitslücke ist schon in einem kürzlich veröffentlichten Update unserer Bibliothek mit bekannten Malware-Signaturen.

Wir leiten den gesamten Datenverkehr durch ein Filtersystem. Jede verdächtige Anfrage, einschließlich der Nutzung der Log4Shell-Sicherheitslücke, wird am Eingang blockiert.

Wir verhindern, dass Angreifer bösartigen Code ausführen, und bieten zuverlässigen Webschutz für Ihre Webseiten und Anwendungen.

Was können Sie sonst tun, um sich zu schützen?

Zunächst einmal sollten Sie Apache Log4j auf die neueste Version aktualisieren.

Wenn es aus irgendeinem Grund keine Möglichkeit zur Aktualisierung gibt, verwenden Sie diese Empfehlungen.

1. In den Versionen 2.10 und höher können Sie die Systemeigenschaft log4j2.formatMsgNoLookups oder die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true setzen.
2. In den Versionen 2.7 bis 2.14.1 können Sie die PatternLayout-Muster ändern: Geben Sie den Message Converter als %m{nolookups} anstelle des einfachen %m an.
3. In den Versionen 2.0-beta9 bis 2.7 besteht die einzige Lösung darin, die Klasse JndiLookup aus dem Classpath zu entfernen: zip q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.

Der zuverlässigste Weg zur Absicherung Ihrer Ressourcen ist jedoch die Aktivierung des Schutzes.

Wir überwachen das Auftreten neuer Schwachstellen und aktualisieren unsere Algorithmen so schnell wie möglich. So müssen Sie sich keine Sorgen um die Sicherheit Ihrer Ressourcen machen und keine Notmaßnahmen ergreifen, um sie zu schützen. Ihre Webanwendungen und APIs sind sicher.