CVE-2021-44228 – Zero-Day-Sicherheitslücke in Apache Log4j, die Remote Code Execution (RCE) ermöglicht
Eine kritische Schwachstelle, die Remote Code Execution (RCE) ermöglicht (CVE-2021-44228), wurde in Log4jgefunden, einer Open-Source-Bibliothek zum Protokollieren. Akamai hat in den letzten 24 Stunden direkt mit Kunden an der Implementierung von WAF-Regeln (Web Application Firewall) gearbeitet, um das Risiko zu verringern. Da Log4j in so vielen gängigen Frameworks integriert ist, sind die Auswirkungen weitreichend. Die Schwachstelle wird aktiv ausgenutzt. Dadurch kann ein Angreifer beliebigen Code auf Systemen mit Anwendungen, die die Bibliothek enthalten, ausführen.
Die Schwachstelle betrifft mehrere Versionen von Log4j und darauf basierende Anwendungen (z. B. Apache Struts2, Apache Solr, Apache Druid, Apache Flink und viele andere). Anwendungsadministratoren und -entwickler sollten überprüfen, welche Anwendungen das Log4j-Paket verwenden. Wenn es sich um eine anfällige Paketversion handelt (Log4j-Versionen 2.0–2.14.1), sollten sie umgehend auf Version 2.16.0 oder höher aktualisieren. Die neueste Version finden Sie bereits auf der Log4j-Download-Seite.
Akamai hat nun eine Aktualisierung unserer bestehenden Apache-Regel vorgenommen, um den Schutz vor dieser Zero-Day-CVE zu integrieren. Dazu gehört die Aktualisierung der Regel 3000014 für das Kona Rule Set oder die Adaptive Security Engine von Akamai (für Kunden, die die Automated-Attack-Group-Engine verwenden, haben wir die Command-Injection-Gruppe aktualisiert). Dies sind die Engines, die in den Produkten Kona Site Defender, Web Application Protector und App & API Protector von Akamai zum Einsatz kommen. Alle Kunden, die diese Regeln (oder Angriffsgruppen) derzeit im DENY-Modus aktiviert haben, erhalten einen automatischen Inline-Schutz für die folgenden Schutz-Engines und -Versionen:
Kona Rule Set: jede Version ab dem 29. Oktober 2019
Automated Attack Groups: jede Version
Adaptive Security Engine: jede Version
Server, auf denen internetbasierte Anwendungen gehostet werden, sind möglicherweise bereits kompromittiert. Auf vielen Systemen können mit dem folgenden Befehl Exploit-Versuche angezeigt werden, um Indicators of Compromise zu identifizieren:
sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns)://' /var/log
Wir empfehlen allen Nutzern von Log4j Version 2.0 bis 2.14.1, so schnell wie möglich die Aktualisierung vorzunehmen. Wenn dies jedoch nicht möglich ist, sollten die potenziell anfälligen Computer den ausgehenden Zugriff so weit wie möglich einschränken. Es können mehrere ausgehende Protokolle für den Exploit anfälliger Systeme verwendet werden, sodass das Blockieren bestimmter ausgehender Ports oder Hosts möglicherweise nicht ausreicht.
Akamai-Kunden mit Guardicore Centra (jetzt Teil des Sicherheitsportfolios von Akamai) können die Transparenz auf Prozessebene von Centra nutzen, um alle auf Java basierenden Anwendungen in ihrem Netzwerk zu identifizieren, die potenziell gefährdet sind. Kunden können dann die Gefährdung zuordnen und einschätzen (z. B. internetbasierte Services, Infrastrukturservices, die für das gesamte Rechenzentrum verfügbar sind, lokale Anwendungen für eine begrenzte Anzahl an Nutzern und Computern) sowie als unmittelbare Maßnahme Segmentierungsregeln anwenden, bis ein Patch aufgespielt werden kann.
