Zum Inhalt springen
Neuer Bericht: Holen Sie sich Ihr Exemplar des State of the Internet Report 2024! | Heute herunterladen
Blogs

CVE-2021-44228: Log4j

Am 9. Dezember 2021 wurde eine schwerwiegende Remote Code Exploit (RCE)-Schwachstelle, "Log4Shell", in log4j, einer von der Apache Foundation verwalteten und von zahllosen Java-Anwendungen auf der ganzen Welt genutzten Protokollierungsbibliothek, bekannt gegeben. Was diese Schwachstelle gefährlicher als die meisten anderen macht, ist die weit verbreitete Verwendung der Bibliothek in einer beträchtlichen Anzahl von Anwendungen. Dieser Fehler betrifft nicht nur einen einzelnen Dienst oder ein einzelnes Produkt, sondern jeden Dienst oder jedes Produkt, das die Log4j2-API verwendet, und das sind eine Menge. Ein Angreifer kann eine bösartige Nutzlast erstellen, die einen Server dazu verleitet, ausführbaren Code von einem vom Angreifer kontrollierten Ort zu laden, was zu einer Remotecodeausführung (RCE) mit den Berechtigungsstufen des Benutzers führt, der den Dienst ausführt.

Es ist schwierig, direkt nach log4j zu suchen, da es sich nicht um einen Dienst oder eine Anwendung handelt, sondern eher um eine Bibliothek, die in viele andere Anwendungen integriert ist. Daher können wir nur nach Anwendungen scannen, von denen wir wissen, dass sie die Bibliothek verwenden. Censys hat beschlossen, neue Ergebnisse in schrittweisen Updates hinzuzufügen, sobald mehr Indikatoren gefunden werden und die Anbieter ihre Ergebnisse melden. Im Interesse der Zeit haben wir außerdem beschlossen, nur Software und Dienste mit hoher Sichtbarkeit und nachweisbaren Schwachstellen (Bestätigung durch den Entwickler) zu erfassen.

Da die Informationen über die Auswirkungen dieser Sicherheitslücke zum Teil sehr umfangreich, zum Teil aber auch begrenzt sind, wird Censys diesen Beitrag regelmäßig mit anfälliger Software aktualisieren, sobald neue Informationen eintrudeln. Der Leser sollte beachten, dass nicht alles, was wir erwähnen, anfällig ist und nicht alles, was anfällig ist, aufgelistet wird. Im Folgenden gehen wir auf die am häufigsten betroffene Software ein, die wir im Internet gefunden haben:


Apache Solr

An erster Stelle steht Apache Solr. Solr ist eine Open-Source-Java-Plattform, die die Lucene-Suchmaschine nutzt, um eine REST-basierte Indizierung und Suche von Dokumenten zu ermöglichen. Am 10. Dezember 2021 bestätigte das Solr-Team, dass das Projekt in den Versionen 7.4.0 bis 7.7.3 und 8.0.0 bis 8.11.0 für diesen Angriff anfällig ist. Versionen vor 7.4 verwenden nicht log4j2, sondern eine ältere log4j-Bibliothek, die für Solr-Installationen mit benutzerdefinierten Logging-Konfigurationen anfällig sein kann.

Censys kann Solr-Dienste auf der Grundlage des Solr-Administrations-Dashboards identifizieren, indem es den HTML-Titel "Solr Admin" verwendet und ihn mit verschiedenen Elementen im HTTP-Antwortkörper abgleicht, die die laufende Version anzuzeigen scheinen. Die folgenden HTML-Elemente geben beispielsweise die getaggte Version der laufenden Software wieder (beachten Sie das "?_=8.9.0" am Ende eines jeden Links):

<link rel="shortcut icon" type="image/x-icon" href="img/favicon.ico?_=8.9.0">

Mit der Kombination dieser beiden Muster haben wir festgestellt, dass von den 2.399 eindeutigen Instanzen, die wir in Betrieb gefunden haben, 1.398 Dienste in den anfälligen Bereich von log4j2 fallen.

Wir haben herausgefunden, dass von den 2.399 eindeutigen Solr-Instanzen im öffentlichen Internet 1.398 Server anfällige Versionen verwenden und wahrscheinlich anfällig für Angriffe sind. Im Folgenden zeigen wir die bekannten anfälligen Versionen und die Anzahl der von Censys indizierten Dienste.

Wenn die Version von Solr älter als 7.4 war, ist sie zwar nicht standardmäßig anfällig, kann aber angreifbar gemacht werden, wenn ein Administrator eine benutzerdefinierte Protokollierung konfiguriert hat. Als Vorsichtsmaßnahme sind in der nachstehenden Tabelle alle bekannten Versionen von Apache Solr aufgeführt, die Censys ausfindig machen konnte.

Solr ist eine Backend-Datenbank-Engine, die nicht für die Öffentlichkeit bestimmt ist, und wir empfehlen den Betreibern, den öffentlichen Zugang zu Solr unabhängig von der verwendeten Version zu beschränken.


UniFi

Schnelle Links

Die UniFi Network Application läuft auf dem Produkt Cloud Key oder Cloud Controller, mit dem ein Benutzer seine UniFi-Geräte über das Internet verwalten kann. Die UniFi-Entwickler haben in ihrer Erklärung darauf hingewiesen, dass die folgenden Versionen der Software eine anfällige Version von log4j2 enthalten:

  • 6.5.54 und früher
  • 6.4.54 und früher
  • 6.3.51 und früher
  • 6.2.26 und früher
  • 6.1.71 und früher
  • 6.0.45 und früher
  • 5.14.25 und früher
  • 5.13.33 und früher
  • 5.12.72 und früher
  • 5.11.52 und früher
  • 5.10.27 und früher
  • 5.9.33 und früher
  • 5.8.30 und früher
  • 5.7.28 und früher
  • 5.6.42 und früher

Es gibt derzeit zwei Möglichkeiten, die genaue Version eines UniFi-Geräts zu ermitteln. Ältere 5.x-Versionen enthalten die Version im Hauptteil des Dashboards als Wert der folgenden Zeichenkette: "window.unifiConfig.version". Neuere 6.x-Versionen verweisen auf einen Dateinamen mit dem Präfix "angular" und einem eindeutigen Hash am Ende. Ein Analytiker kann diesen Hash verwenden, um den URI auf die tatsächliche Version der Software zurückzuführen; zum Beispiel: "/manage/angular/g1bfe798f1/js/index.js" kann auf die Version 6.1.70.0 abgebildet werden.

Hinweis: Am Ende dieses Dokuments finden Sie eine Liste der URI-Versionszuordnungen.

Anhand dieses Fingerabdrucks und der Hash-Zuordnungen stellte Censys fest, dass es 85.328 potenziell anfällige UniFi Network-Dienste im Internet gab, von denen nur 1.876 die neueste Version 6.5.54 der Software nutzten. Das obige Balkendiagramm zeigt die verwundbaren Versionen und die Anzahl der entdeckten Dienste. Obwohl es noch keinen funktionierenden Exploit speziell für UniFi-Geräte gibt, wird Benutzern empfohlen, ein Upgrade durchzuführen und zu überlegen, ob sie öffentlich zugängliche UniFi-Dienste benötigen.


Metabase

Schnelle Links

Metabase ist ein Open-Source-Produkt für die Erstellung von Diagrammen und Dashboards. Zum Zeitpunkt der Erstellung dieses Artikels konnte Censys keine Ankündigung von Metabase finden. Es gibt jedoch mehrere neue Tags im Github-Repository von Metabase , in denen auf Korrekturen für dieses CVE verwiesen wird:

  • v1.40.7
  • v1.39.7
  • v1.38.6
  • v0.41.4
  • v0.40.7
  • v0.39.7
  • v0.38.6

Nachfolgend finden Sie ein Diagramm mit den verschiedenen Versionen von Metabase, die wir identifizieren konnten, sowie die Anzahl der für jede Version gefundenen Dienste.

Die genaue Version für eine Metabase-Installation ist einfach zu ermitteln, da der Dienst das Git-Tag und den Release-Zweig als Textblob in den Textkörper der Landing Page einbettet. Durch die Suche nach dem Metabase CPE in Censys können wir den Inhalt des Dienstes abrufen, der HTML-Elemente wie das folgende enthält:

"version":{"date":"2021-08-03","tag":"v0.40.2",branch":"release-x.40.x", hash":"b884d29"}

Durch die Analyse der Version dieser Daten hat Censys herausgefunden, dass 19.287 Dienste möglicherweise eine anfällige Version der Metabase-Software verwenden. Nachfolgend finden Sie die 10 wichtigsten Versionen von Metabase Censys , die im Internet gefunden wurden.

Top-10-Versionen Zählen Sie
v0.41.3 1,531
v0.41.2 1,504
v0.41.1 1,037
v0.41.0 701
v0.40.2 680
v0.40.5 660
v0.39.4 591
v0.31.2 552
v0.38.0 522
v0.35.4 512


Pagerduty Rundeck

Schnelle Links

Am 11. Dezember 2021 veröffentlichte Rundeck by Pagerduty eine Erklärung , dass die Versionen 3.4.6 und früher für den log4j-Angriff anfällig sind. Zum Zeitpunkt der Erstellung dieses Berichts konnte Censys 1.274 Dienste finden, die sich selbst als Rundeck-Instanz identifizieren, und nur vier Hosts, auf denen die gepatchte Version 3.4.7 der Software läuft. Um die genaue Version der Software zu ermitteln, enthält jede Landing Page für das administrative Panel einen Link zur Software-Dokumentation, die die Version des aktuell laufenden Dienstes enthält. Zum Beispiel:

<a href="https://docs.rundeck.com/3.3.0?utm_source=rundeckapp”>

Nachfolgend finden Sie eine Übersicht über alle entdeckten Rundeck-Service-Versionen und die Anzahl der mit jeder Version verbundenen Hosts.


Neo4j

Schnelle Links

Neo4j ist ein beliebtes Graphdatenbanksystem, das eine ACID-Schnittstelle für die Speicherung und Analyse von Graphen enthält. Die Neo4j-Entwickler haben eingeräumt, dass jede Version nach 4.2 eine verwundbare Version des Log4j2-Pakets enthält, und empfehlen, bis zu einer vollständigen Veröffentlichung die folgenden Konfigurationen in "neo4j.conf" einzurichten:

dbms.jvm.additional=-Dlog4j2.formatMsgNoLookups=true

dbms.jvm.additional=-Dlog4j2.disable.jmx=true

Zum Zeitpunkt der Erstellung dieses Artikels konnte Censys über 4.000 Dienste identifizieren, die sich als neo4j-Dienst ausweisen. Unten finden Sie ein Diagramm, das die gefährdeten Versionen zusammen mit der Anzahl der gefundenen Dienste zeigt.

Was kann ich dagegen tun?

Censys überwacht die Situation weiterhin und erstellt neue Fingerabdrücke und Risiken für unsere ASM-Kunden, sobald weitere Meldungen über anfällige Software eingehen. Bitte sehen Sie sich eine der von der Community erstellten Listen anfälliger Komponenten und Anwendungen an, um zu prüfen, ob eine Anlage für diesen Angriff anfällig ist.

Censys ASM-Kunden haben jetzt Zugang zu verschiedenen Risiken, die Software erkennen, die als anfällig für den log4j-Angriff eingestuft wurde. Jede Software, die einen Versionsbereich enthält, ist ein Dienst, aus dem Censys Versionen extrahieren kann.

  • Apache Solr(kann verwundbare Versionen erkennen) 7.4.0 - 7.7.3und 8.0.0 - 8.11.0
  • UniFi Netzwerk Anwendung: (< 6.5.54< 6.3.51< 6.2.26< 6.1.71< 6.0.45< 5.14.25, ` < 5.13.33`, < 5.12.72< 5.11.52< 5.10.27< 5.9.33< 5.8.30< 5.7.28< 5.6.42
  • Metabase< 1.40.7< 1.39.7< 1.38.6< 0.41.4< 0.40.7< 0.39.7< 0.38.6
  • PagerDuty Rundeck: < 3.4.7
  • Neo4j>= 4.2
  • VMWare Horizon
  • VMWare VCenter Server
  • VMWare Site Recovery Manager
  • Apachen-Druide
  • Apache Flink
  • Sonicwall E-Mail-Sicherheit
  • Solarwinds
  • Tableau-Server
  • Graylog
  • Wowza Streaming Engine
  • Apache OpenShift
  • Cloudera Ambari
  • Apache James
  • Connectwise-Steuerung
  • Cloudera Jetty
  • Avaya
  • Apache-Kojote
  • CPanel
  • Elasticsearch
  • Cisco IMC
  • JAMF
  • RedHat JBOSS

Referenzen

UniFi 6.x URI zu Version Zuordnungen

URI Version
/manage/angular/g4a47a06 6.0.41.0
/manage/angular/g438457d 6.0.23.0
/manage/angular/gcf519ebb9 6.5.54.0
/manage/angular/g7989b19 5.13.29.0
/manage/angular/gf2f1a60 6.0.43.0
/manage/angular/g6a7f21d 6.0.22.0
/manage/angular/gbf6d377 6.0.36.0
/manage/angular/gb022025 5.14.22.0
/manage/angular/gcc0bcf720 6.5.51.0
/manage/angular/g20ab6be 6.0.28.0
/manage/angular/g61b7dd794 6.5.52.0
/manage/angular/gf3b4dc4 5.14.23.0
/manage/angular/ga88c834 5.13.32.0
/manage/angular/ga96206ecf 6.2.25.0
/manage/angular/g57548a154 6.0.45.0
/manage/angular/gfb0d849a1 6.1.71.0
/manage/angular/g5444e99cd 6.2.26.0
/manage/angular/g9c8f4ab88 6.4.54.0
/manage/angular/g2e6f199fa 6.5.53.0
/manage/angular/g61b7dd794 6.5.52.0
/manage/angular/g6a7f21d 6.0.22.0
/manage/angular/ga94ebb3 6.0.20.0
/manage/angular/g7109cc6f6 6.2.23.0
/manage/angular/g527aa123f 6.2.17.0
/manage/angular/ge08fb9372 6.1.67.0
/manage/angular/g336c97bfb 6.5.50.0
/manage/angular/gfaf0cbe4b 6.5.45.0
/manage/angular/gcd8182f89 6.4.47.0
/manage/angular/gf82b22e 6.0.24.0
/manage/angular/g1bfe798f1 6.1.70.0

Über den Autor

Mark Ellzey
Senior Security Researcher Alle Beiträge von Mark Ellzey
Mark Ellzey ist ein leitender Sicherheitsforscher bei Censys. Vor seiner jetzigen Tätigkeit war Mark Ellzey über 22 Jahre lang als Netzwerksicherheitsingenieur und Softwareentwickler für verschiedene Internetdienstleister und Finanzinstitute tätig.
Lösungen für das Management von Angriffsflächen
Mehr erfahren