CVE(s): CVE-2021-44228
CVE-2021-45056
CVE-2021-45105
Erstveröffentlichung: 10. Dezember 2021
letztes Update: 10. Dezember 2021
Übergangslösung: nicht vorhanden
Am 9. Dezember 2021 wurde eine schwere Remote Code Execution Schwachstelle in Apaches Log4J festgestellt. Bei Log4J handelt es sich um ein weit verbreitetes Logging System, das von Entwicklern für Web- und Serverapplikationen, die auf Java und anderen Programmiersprachen basieren, genutzt wird. Die Schwachstelle betrifft einen großen Teil von Services und Applikationen auf Servern, wodurch sie extrem gefährlich ist und die neuesten Patches für diese Applikationen dringend benötigt werden. Sophos konnte auf breiter Fläche feststellen, das Angreifer versuchen die Schwachstelle auszunutzen.
Die Schwachstelle macht es jedem Angreifer, der in der Lage ist Text in die Log-Nachrichten, oder Log-Nachrichten-Parameter in die Server-Logs zu injizieren, möglich Code von einem entfernten Server nachzuladen. Der angegriffene Server führt diesen Code anschließend über Calls zum Java Naming and Directory Interface (JNDI) aus. JNDI interagiert mit einer Vielzahl an Netzwerkdiensten, inklusive Lightweight Directory Access Protocol (LDAP), Domain Name Service (DNS), Javas Remote Interface (RMI) und dem Common Object Request Broker (COBRA). Sophos konnte feststellen, dass LDAP, DNS und RMI Ziele von Angriffen waren, bei denen eine URL die auf diese Dienste getaggt war an einen externen Server weitergeleitet werden.
Patches für Log4j
Es existieren zwar Möglichkeiten mit denen Kunden die Schwachstelle eingrenzen können, die beste Lösung des Problems ist allerdings ein Upgrade auf die gepatchte Version, die mit log4j 2.15.0 bereits von Apache bereitgestellt worden ist.
Ein weiterer Log4j Bug, CVE-2021-45046, zwang Apache dazu ein weiteres Update für Log4j bereitzustellen, von 2.15.0 zu 2.17.0. Glücklicherweise erlaubt dieser Bug weder Remote Code Execution, noch das Abfliessen von Daten. Der Bug ermöglicht allerdings eine Denial-of-Service-Attacke, die zum festhängen der Prozesse führen kann.
Unglücklicherweise wirken die Möglichkeiten zur Schwachstellen-Eingrenzung für 2.15.0 (eine spezielle Option per Kommandozeile, oder über eine Umgebungsvariable setzen) nicht gegen CVE-2021-45046. Um sich gegen CVE-2021-45046 zu schützen, müssen Sie zwingend auf Log4j Version 2.17.0 patchen.
Sophos empfiehlt, sofern Sie mit dem Patchen bereits begonnen haben, alle noch ungepatchten Maschinen auf Version 2.17.0 zu updaten, bevor Sie die Maschinen mit 2.15.0 updaten. Dadurch stellen Sie sicher, dass die minimale Version 2.15.0 ist und Sie vor dem kritischen CVE-2021-44228 geschützt sind.
Welche Sophos Produkte sind betroffen?
Sophos überprüft und patcht alle betroffenen Applikationen und Dienste als Teil von Sophos Incident Response Prozesses.
| Produkt oder Service | Status | Beschreibung |
|---|---|---|
| Sophos Central | Nicht betroffen | Sophos Central nutzt keine ausnutzbare Konfiguration |
| Sophos Firewall (alle Versionen) | Nicht betroffen | Sophos Firewall nutzt Log4j nicht. |
| SG UTM (alle Versionen) | Nicht betroffen | Sophos SG UTM nutzt Log4j nicht. |
| SG UTM Manager (SUM) (alle Versionen) | Nicht betroffen | SUM nutzt Log4j nicht. |
| Sophos ZTNA | Nicht betroffen | Sophos ZTNA nutzt Log4j nicht |
| Cloud Optix | gepatched | Benutzern is gegebenenfalls aufgefallen, dass es gegen 12:30 Uhr GMT einen kurzen Ausfall gab, als das Update eingespielt wurde Sophos hat die Hostanalyse in der Cloud Optix Umgebung abgeschlossen. Es fanden keine erfolgreichen Angriffe über diese Schwachstelle statt, bevor der Patch verfügbar war. |
| SafeGuard Enterprise (SGN) | Nicht betroffen | SGN nutzt Log4j nicht. |
| Sophos Authenticator | Nicht betroffen | Sophos Authenticator nutzt Log4j nicht. |
| SG UTM Manager (SUM) (alle Versionen) | Nicht betroffen | SUM nutzt Log4j nicht. |
| Sophos Enterprise Console (SEC) | Nicht betroffen | SEC nutzt Log4j nicht. |
| Sophos RED | Nicht betroffen | Sophos RED nutzt Log4j nicht. |
| Sophos Home | Nicht betroffen | Sophos Home nutzt Log4j nicht. |
| Sophos Mobile | Nicht betroffen | Sophos Mobile (in Central, SaaS, und On-Premise) nutzt keine ausnutzbare Konfiguration |
| Sophos Mobile EAS Proxy | Zum Teil betroffen | Nähere Informationen können Sie dem Abschnitt „Sophos Mobile: Notwendige Schritte gegen die log4j-Schwachstelle“ entnehmen |
| Sophos Mobile | Nicht betroffen | Sophos Mobile (in Central, SaaS, und On-Premise) nutzt keine ausnutzbare Konfiguration |
| Reflexion | Nicht betroffen | Reflexion nutzt keine ausnutzbare Konfiguration |
| Sophos Endpoint Protection (Windows/Mac/Linux) | Nicht betroffen | Sophos Endpoint Protection nutzt Log4j nicht. |
| Sophos Web Appliance | Nicht betroffen | Sophos Web Appliance nutzt Log4j nicht. |
| Sophos Wireless | Nicht betroffen | Sophos Wireless nutzt Log4j nicht. |
| SophosLabs Intelix | Nicht betroffen | SophosLabs Intelix nutzt Log4j nicht. |
| Sophos Firewall Clients | Nicht betroffen | Sophos Firewall Clients nutzen Log4j nicht. - Sophos Connect Client - Sophos SSL VPN Client - Sophos Transparent Authentication Suite (STAS) - Sophos Authentication for Thin Client (SATC) (EOL) - Client Authentication Agent (all Versions) |
| Sophos Email | gepatched | Sophos hat die Hostanalyse in der Sophos Email Umgebung abgeschlossen. Es fanden keine erfolgreichen Angriffe über diese Schwachstelle statt, bevor der Patch verfügbar war. |
| Sophos Email Appliance | Nicht betroffen | SEA nutzt Log4j nicht. |
Wie werden Sophos Kunden geschützt?
Sophos Managed Threat Response (MTR) Kunden
Sophos untersucht MTR-Kundenaccounts aktiv auf verdächtige Aktivitäten.
IPS-Signaturen
IPS-Signaturen wurden am 11. Dezember 2021 veröffentlicht.
Sophos Firewall
SIDs sind 2306426, 2306427, 2306428, 58722, 58723, 58724, 58725, 58726, 58727, 58728, 58729, 58730, 58731, 58732, 58733, 58734, 58735, 58736, 58737, 58738, 58739, 58740, 58741, 58742, 58743, 58744
Sophos Endpoint
SIDs sind 2306426, 2306427, 2306428
Sophos SG UTM
SIDs sind 58722, 58723, 58724, 58725, 58726, 58727, 58728, 58729, 58730, 58731, 58732, 58733, 58734, 58735, 58736, 58737, 58738, 58739, 58740, 58741, 58742, 58743, 58744
Sophos XDR Kunden
Sophos XDR Kunden können die folgende Anfrage durchführen, um gefährdete Log4j-Komponenten in ihrer Umgebung ausfindig zu machen.
Diese Anfrage ist nur für Linux!
select name, version,
regex_match(version,"(\d+)",1) as first,
regex_match(version,"\d+.(\d+)",1) as second,
regex_match(version,"\d+.\d+.(\d+)",1) as third,
regex_match(version,"\d+.\d+.\d+p(\d+)",1) as fourth from deb_packages where name LIKE 'log4j' UNION ALL select name, version,
regex_match(version,"(\d+)",1) as first,
regex_match(version,"\d+.(\d+)",1) as second, regex_match(version,"\d+.\d+.(\d+)",1) as third, regex_match(version,"\d+.\d+.\d+p(\d+)",1) as fourth from rpm_packages where name LIKE 'log4j';
Die nachfolgende Suchanfrage listet alle Prozesse auf, die log4j in ihrer cmdline enthalten. Arbeitet für Linux, Mac und Windows. Die Anfrage gibt eine große Zahl an Ergebnissen, aber verschafft einen ersten Überblick.
SELECT
meta_hostname AS ep_name,
name,
cmdline,
path,
query_name,
sophos_pid,
pid
FROM xdr_data
WHERE query_name IN( 'running_processes_linux_events', 'running_processes_osx_events', 'running_processes_windows_sophos')
AND LOWER(cmdline) LIKE '%log4j%'
Finden Sie eine gefährdete Komponente, sollten Sie diese unverzüglich updaten und die Logs auf eventuelle Ausnutzung der Schwachstelle untersuchen. Sophos geht davon aus, dass eine erfolgreiche Ausnutzung der Schachstelle nicht über Log4j selbst, sondern nur durch Korrelation mit anderen Logs erkannt werden kann.
Malicious Payload Detections
SophosLabs hat Entdeckungen zu Malicious Payloads veröffentlicht, die über log4Shell ausgeliefert werden. Es handelt sich hauptsächlich um CryptoMiner, Angriffsskripte und bösartige Java-Downloader. Bitte beachten Sie, dass diese Payloads nicht ausschließlich per Log4Shell ausgeliefert werden, sonder auch andere Angriffsvektoren nutzen können.
Troj/JavaDl-AAN
Troj/Java-AIN
Troj/BatDl-GR
Mal/JavaKC-B
XMRig Miner (PUA)
Troj/Bckdr-RYB
Troj/PSDl-LR
Mal/ShellDl-A
Linux/DDoS-DT
Linux/DDoS-DS
Linux/Miner-ADG
Linux/Miner-ZS
Linux/Miner-WU
Linux/Rootkt-M
Sophos Mobile: Notwendige Schritte gegen die log4j-Schwachstelle
Dieser Artikel enthält Informationen über die nötigen Schritte für Benutzer von Sophos Mobile EAS Proxy On-Premise, um der log4j-Schwachstelle entgegenzuwirken, die im Dezember 2021 bekannt geworden ist.
Schritte zum Entgegenwirken der log4j-Schwachstelle
Sophos Mobile EAS Proxy
Sophos hat eine neue Version des Sophos Mobile EAS Proxy veröffentlicht (Version 9.7.2), um die Schwachstelle zu adressieren. Der Sophos Mobile 9.7.2 EAS Proxy ist kompatibel mit Sophos Mobile On-Premise 9.7 und 9.6. Ältere Versionen des Sophos Mobile On-Premise werden nicht mit diesem EAS Proxy arbeiten.
Sophos empfiehlt die Version hier herunterzuladen.
Kann das Update nicht sofort eingespielt werden, können Sie folgendes durchführen, um der Schwachstelle entgegenzuwirken:
1. Loggen Sie sich in das Betriebssystem, auf dem der Sophos Mobile EAS Proxy installiert ist, ein.
2. Öffnen Sie eine administrative Kommandozeile und führen sie folgende Befehle aus:
setx "LOG4J_FORMAT_MSG_NO_LOOKUPS" "true" /M
net stop easproxy
net start easproxy
Andere Sophos Mobile Komponenten
Sophos Mobile 9.5 und neuer nutzen die log4j-Komponente nicht, die von dieser Schwachstelle betroffen ist, sodass Sophos Mobile in Central und Sophos Mobile On-Premise nicht betroffen sind.
Kunden, die Sophos Mobile On-Premise benutzen, können zusätzlich noch die folgenden Schritte auf dem Sophos Mobile Server durchführen, um die Java-Installation zu härten:
1. Loggen Sie sich in das Betriebssystem des Sophos Mobile Servers ein.
2. Stoppen Sie den Sophos Mobile Service.
3. Gehen Sie in den Ordner %MDM_HOME%\wildfly\bin
4. Editieren Sie die standalone.conf.bat
5. Ans Ende der Datei fügen Sie die folgende Zeile vor dem JAVA_OPTS Kommando ein:
set "JAVA_OPTS=%JAVA_OPTS% -Dlog4j2.formatMsgNoLookups=true"
6. Speichern Sie die Datei.
7. Starten Sie den Sophos Mobile Service.