Heimnetzwerk durch Log4j Exploit betroffen?

[flo222]

Hallo zusammen,

aufgrund der aktuellen Thematik mit dem Log4j Exploit stellt sich mir die Frage, ob mein Heimnetzwerk betroffen ist, und wie ich das feststellen kann.

Mein Router ist ein UniFi USG im Zusammenspiel mit einem Controller auf dem CloudKey 1. Der Controller lief bis gestern noch auf der Version 6.5.53, gestern früh hab ich es dann auf 6.5.54 upgedated. Leider zeigt UniFi mit dem CloudKey 1 keine Notifications mehr an wenn es einen neuen Controller gibt, nur bei Firmware-Updates. Sonst hätte ich es schon am Wochenende bemerkt als ich im Controller eingeloggt war.

Ich hab mir jetzt mal das komplette Log aus dem Controller heruntergeladen, und frag mich jetzt, ob es Einträge gibt, aufgrund derer ich ggf. nachvollziehen kann, ob mein Netzwerk schon vor dem Update kompromittiert wurde. Hat hier jemand der Spezialisten Infos?

 

[PHuV]

Ja, kannst Du, siehe unten bei Recommendations:
https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/

 

[wahli]

Ist dein System von außerhalb erreichbar?

 

[flo222]

Ist dein System von außerhalb erreichbar?

Ja, über DynDNS und mittels VPN ist es von außen erreichbar. Außerdem hab ich auf nem Raspberry noch einen Minecraft-Server meines Juniors laufen, der ist auch von außen erreichbar. Allerdings ist der Minecraft Server in nem eigenen (isolierten) VLAN, und mittlerweile auch ausgeschaltet. Zusätzlich ist noch ein Port für den Landwirtschaftssimulator offen, den spielt mein Junior auch noch. Also ja, es ist nicht alles dicht.

 

[wahli]

DynDNS und VPN sollten kein Problem sein. Ohne VPN kommt ja keiner zum Unifi-Controller oder Minecraft-Server. Oder hast du irgendwelche Portforwarding geschalten? So wie es aussieht, ist nur VPN von außerhalb sichtbar.

Oder hast du in deinem lokalen Netz irgendwelche Angreifer?

 

[b1nb4sh]

DynDNS und VPN sollten kein Problem sein. Ohne VPN kommt ja keiner zum Unifi-Controller oder Minecraft-Server. Oder hast du irgendwelche Portforwarding geschalten? So wie es aussieht, ist nur VPN von außerhalb sichtbar.

Oder hast du in deinem lokalen Netz irgendwelche Angreifer?

Meistens kommt der Feind sowieso von innen

 

[wahli]

@b1nb4sh
Nicht umsonst wurden bei mir in der Firma gestern einige interne Applikationen gepatcht 😱

 

[flo222]

DynDNS und VPN sollten kein Problem sein. Ohne VPN kommt ja keiner zum Unifi-Controller oder Minecraft-Server. Oder hast du irgendwelche Portforwarding geschalten? So wie es aussieht, ist nur VPN von außerhalb sichtbar.

Oder hast du in deinem lokalen Netz irgendwelche Angreifer?

Ich hab nur zwei Ports weitergeleitet. Ein Port geht auf den Minecraftserver (im isolierten VLAN), der zweite Port geht auf den PC meines Juniors um den Landi spielen zu können. Der Rest ist zu. Auf den NAS oder auch den Controller greife ich ausschließlich über VPN.

Aber beruhigt mich ja schon etwas. War nur leicht nervös, da ich den Patch übersehen hab. Bei uns in der Firma ist seit Freitag am Abend die Hölle los. Die IT hat das Wochenende großteils durchgearbeitet, hunderte Applikationen wurden am Wochenende abgeklemmt und werden jetzt erst nach und nach hochgefahren. Meine Applikation für die ich als Product Owner zuständig bin, ist noch immer offline, keine Ahnung wann die wieder online gehen darf. Hab auch noch das Glück, dass meine Applikation im Netz hängt und für jeden frei zugänglich ist, also noch mehr gefährdet ist als interne Applikationen.

 

[wahli]

Mein Produkt war zum Glück nicht betroffen, obwohl ich auch log4j einsetze, allerdings nicht die "böse" log4j-core Bibliothek.
Setze einfach log4j2.formatMsgNoLookups auf true und starte die Applikation neu. Fertig.

 

[Engaged]

Was heißt hier heimnetzwerk betroffen, meine Fritzbox ist auch per VPN erreichbar, und meine xboxen dürfen eigenständig Ports freigeben weil das zum Spielen benötigt wird, ist das jetzt schlimm oder wie? 🤔

 

[flo222]

Was heißt hier heimnetzwerk betroffen, meine Fritzbox ist auch per VPN erreichbar, und meine xboxen dürfen eigenständig Ports freigeben weil das zum Spielen benötigt wird, ist das jetzt schlimm oder wie? 🤔

Bei ner FritzBox geh ich nicht davon aus, aber UniFi war explizit als betroffene Applikation benannt, und dahinter hängt halt dann mein Heimnetzwerk, deswegen die Frage.

 

[Engaged]

Ah ok dann ist ja alles gut. 😅

 

[chrigu]

Diese sicherheitsrelevante Lücke existiert nicht erst seit gestern! Sie wurde erst am Freitag an die grosse Glocke gehängt. Und so wie es ausschaut läuft dieses Java Tool seit 5 Jahren und letztes Jahr kam die Version 2.0, die diese Lücke hat.
So gesehen… nichts Neues…
Die meisten Firmen haben externe Zugriffe abgestellt, viele haben den Fehler gepatcht und wenige werden gar nichts machen, weil sie es nicht wissen.

Der heimuser sollte im Moment den externen Zugang abstellen, bis ein Patch kommt.

 

[Zhan]

Ganz generell, jemand ne Idee wie man rausfinden kann, was auf dem eigenen Router läuft (also Java ja/nein etc.). FritzBox scheint problemlos zu sein, aber was ist z.B. mit Telekom Speedport Pro Plus oder ähnlichen Nischenroutern. Die loggen intern ja auch Systemvorgänge (und da spielt es keine Rolle, ob da Ports offen sind, es reicht ja schon die Anfrage von aussen mit einem entsprechenden String. Jemand nen Tipp, wie man das prüfen kann?

 

[chrigu]

Ich würde deine Frage direkt beim entsprechenden Support hinterlegen, in deinem Fall bei der Telekom

 

[Ranayna]

Der Minecraft Server ist moeglicherweise schon geknackt.
Vielleicht sogar auch schon viel laenger, denn der log4j2 Exploit war wohl insbesondere im Minecraft Umfeld schon laenger (mehr als 6 Monate!) bekannt.
Daher ist das schonmal sehr gut das du den vom Rest deines Heimnetzes separiert hast.

Es sollten aber alle die diesen Server verwendet haben sicherheitshalber ihr Passwort fuer den Minecraft Account aendern. Und der Server gehoert natuerlich gepatcht, oder besser gleich neu aufgesetzt.