News Sonntagsfrage: Eine Woche Log4Shell, was hat das für dich bedeutet?

[kim88]

@poly123 Falsch! Die Frage sollte (nicht könnte) man sich bei jeder Verwendung eines FOSS Projekts stellen.

 

[foo_1337]

Als shared object würde man einmal die betroffene Bibliothek aktualisieren und dann die abhängigen Dienste neu starten.

Wir sind hier halt nicht in der C/C++ Welt unterwegs, wo irgendwas gelinkt wird. Abgesehen davon war auch nicht selten ein recompile angesagt, wenn die ABI gebrochen wurde und der Entwickler keinen Bock auf einen Backport des Fixes hatte.
Früher haben sich die Entwicker ein jquery oder so runtergeladen und eingebunden. Das wurde dann meist nie mehr angefasst. Nun hast du das, je nach dem, bei jedem Build, z.B. via npm oder composer, und deployst das dann. Und das ganze dann noch idealerweise mit dem "Containerquatsch".

 

[poly123]

@poly123 Falsch! Die Frage sollte (nicht könnte) man sich bei jeder Verwendung eines FOSS Projekts stellen.

Bin leider kein fauler Glue-Code Programmierer und wasche daher meine Hände in Unschuld 😁

 

[wayne_757]

Wir sind hier halt nicht in der C/C++ Welt unterwegs, wo irgendwas gelinkt wird.

Dieses Konzept ist nicht auf irgendwelche Sprachen begrenzt.

Abgesehen davon war auch nicht selten ein recompile angesagt, wenn die ABI gebrochen wurde und der Entwickler keinen Bock auf einen Backport des Fixes hatte.

Das ist ein Fall, der praktisch nie eintritt.

 

[foo_1337]

Dieses Konzept ist nicht auf irgendwelche Sprachen begrenzt.

Na dann bin ich ja sehr gespannt, wie du bei beispielsweise javascript oder php Apps shared objects gegen die der code gelinkt ist bereitstellen willst, welche du dann einfach mal so austauschst. Genau das hast du nämlich beschrieben.
Vielleicht kommst du ja beim darüber Nachdenken darauf, wieso es npm, yarn, composer & co gibt

 

[computerbaser_]

Ich verstehe das Ganze nicht so ganz. Besteht für mich als User auf normalen Websiten da ein Risiko?

 

[fdsonne]

Wirklich ein schlauer Freund. Wieviele unauthenticated remote(!) RCE gibt es denn so pro Tag, die vor allem solch viele public reachable targets haben?

Ehrlich gesagt halte ich es für einen massiven Fehler in Themen der IT Sicherheit mit einer Anzahl zu argumentieren. Es ist doch völlig wurst egal, ob das jetzt eine, 10, 100, ... Fälle pro Tag sind. Es reicht exakt ein Einziger der einen auf dem falschen Fuß erwischt. Und eigentlich spielt es auch weniger eine Rolle, ob das jetzt auch andere betrifft oder nicht. Zumindest wenn man versucht wenigstens erstmal vor seiner eigenen Haustür zu kehren.

Insofern kann ICH diese Person mit der Aussage zu den anderen daily Lücken schon nachvollziehen und schließe mich zumindest dem Grundtenor an - der Mediale Zirkus aus diesen Themen ist sehr häufig irgendwie wenig Hintergrund bezogen. Bei manchen Themen fragt man sich schon, warum gerade das jetzt durch die Medien geht und anderes nicht.

um Lücken die auf der Scale 8/10 übertreffen, sollten vom BSI (z.B.) untersucht werden und Tools/Erkenntnisse für jeden sammeln (zentral).

Im Endeffekt machen die das ja heute schon Die Gefahrenmeldungen vom BSI kommen ja und da wird auch aktiv Zeug untersucht bzw. es wird gewarnt bei Funden.

Man muss da halt abwägen. Es gibt immer solche und solche bei der Thematik. Die, die aktiv Sicherheitslücken ausnutzen, brauchen keine staatliche Stelle um das zu tun. Die bekommen ihre Infos von sonstwo her, ggf. finden diese Leute auch selbst die Lücken und verschleiern dann die Existenz.
ABER es gibt halt auch die andere Gruppe - seeeeehr viele Trittbrettfahrer, die durch Medienrummel eben auf diese Themen aufspringen. Teilweise finden sich in den Logs alle paar wenige Sekunden Versuche um aktiv Sicherheitslücken bekannter Themen auszunutzen und meist steigt der Spaß exakt dann massiv an, wenn die Themen durch die Medien getreten werden. Wie auch hier - Freitags kamen die ersten Meldungen und waren sogar die ersten Patches bereit. Über das WE wurde berichtet und auf einmal schnellten die Zugriffsversuche in die Höhe. Da bist du halt komplett gekniffen, wenn dein Hersteller einfach noch ne Zeit braucht bis er einen fix bringt.

In unserem Fall - der Sophos EAS Proxy - der kam halt erst am Montag und lief über das WE sozusagen ungeschützt. Nicht soooo ultra wild in unserer Konstellation, weil da eine Firewall davor hängt und die nichts auffälliges zeigte in der Richtung - aber die gleiche Firewall zeigte halt Versuche, die ins leere liefen, weil die "Angreifer" nicht über die richtige URL rein kamen und damit auf dem falschen Backend Server abgeworfen wurden. Diese Zugriffe wurden mit zunehmender Zahl der verfügbaren PoC Beispiele immer mehr.

Magst du ein prominentes Beispiel haben? Atlassian. Ein weiteres? Vmware. Noch mehr?

Ich wäre dafür, mehr zu konkretisieren. Dann redet ihr auch nicht aneinander vorbei
Atlassian und VMware sind Firmen, keine Produkte.

OnPrem Jira oder Confluence Server von Atlassian war/ist bspw. nicht betroffen. Diverseste Produkte von VMware sind nicht betroffen. Aber bspw. ist der VMware vCenter Server respektive die Appliance in Form der VCSA betroffen und ebenso noch andere Produkte von VMware. Teils laufen die in der Cloud, teils OnPrem.
Um weitere Beispiele zu nennen - Symantec Endpoint Protection Manager sowie CA Spectrum - beides von Broadcom ist betroffen. Cisco ist mit ganz paar Produkten betroffen. WebEx, SIP Kram, die ISE, der USC Director, ... Da ist ne Menge bei. Auch andere "Namhafte" Hersteller aus dem Bereich Netzwerk und Security sind mit ihren Produkte Mode bei der Nummer. Also eigentlich ist es da schon eher verwunderlich, wie man nicht von mindestens einer der Produkte betroffen sein kann, soweit wie der Spaß verbreitet ist...

Natürlich wirds immer den einen Kunden geben, der da irgendwie nen Bogen um alle Sachen rumgemacht hat. Der ist halt dann beim nächsten mal Mode, wenn wieder was anderes durchs Netz geht...

 

[derlorenz]

Ja klar, ich schreib mal schnell hunderte Hersteller diverser Software an

Dann bist du kein Durchschnittsuser. Und hunderte Hersteller? Evtl. etwas übertrieben.

 

[foo_1337]

@fdsonne Es ging bei den Beispielen darum, dass eben viele tomcat servelets l4j nutzen, auch wenn es nicht der default ist. Das ist auch bei jira und confluence der Fall, auch wenn es bei denen Version 1.x ist. Bitbucket z.B. nutzt 2.x. Bei vmware meinte ich den vcd, der auch tomcat mit log4j (auch 1.x) nutzt.

Ich verstehe das Ganze nicht so ganz. Besteht für mich als User auf normalen Websiten da ein Risiko?

Wenn die Website kompromittiert wurde, ggf. schon. Das weißt du aber in der Regel nicht.

 

[silentdragon95]

Mein Router ist scheinbar nicht betroffen, Java-basierte Client-Software verwende ich außer Minecraft keine, im Browser ist es standardmäßig deaktiviert (gut, für die Uni müssen wir in Java programmieren, aber das ist unser eigener Code bzw. der unserer Dozenten, da mache ich mir keine Sorgen).

(Web-)Serverseitig sollte auch alles passen, meine eingesetzten CMS setzen allesamt nicht auf Java, Parallels sagt, dass Plesk sicher sei und einen Minecraft-Server betreibe ich derzeit nicht (zumal es da bereits ein Update gibt). Insofern bin ich wohl gut davongekommen.

 

[cmi777]

Die Software, die davon betroffen ist, hatten die Kollegen in der Abteilung am Montag bereits in Eigeninitiative gefixt.
Ansonsten von der It-Security erstmal nix.

Es brannte am Montag fröhlich vor sich hin.
Es brannte am Dienstag fröhlich hin.
(Hinter den Kulissen war sicherlich aber die Hölle los)

Selbst der Patch "schon" am Montag ist mMn kritisch. Kommt natürlich immer auf den Kontext der Systemlandschaft an, aber quasi 2,5 Tage ohne Patch - puh.

 

[Drizz]

Ich arbeite in einem großen Unternehmen in der Network Security, wir betreuen zwar die Infrastruktur, haben aber von dem Gebastel der Programmierer und der Applikationsumgebung weniger die Ahnung.

Leider ist es in der heutigen Zeit wohl auch so, dass man nicht mehr auf die Applikationsverantwortlichen zugeht, damit die Ihre Applikation prüfen / patchen, sondern zuerst zu den Netzwerkern:
"kann die WAF den Angriffsvektor erkennen?", "hat die Firewall ein Pattern Update erhalten?" uns so weiter.

Ganz schnell kommt man da in die Situation "die Netzwerker haben gesagt..." - was dann aber nicht implizieren soll, dass sich die anderen Zeit lassen können ihren Kram zu richten.

Auf jeden Fall mussten wir auch vor unserer Tür kehren und die Hersteller einger Tools abfragen, ob die eingesetze Software betroffen ist und wann man gedenkt, zu handeln.
Ich will nicht wissen, was da in der Zukunft noch alles auf uns zukommt.

Viele Grüße an alles Leidensgenossen

 

[MiniM3]

Unsere Software war auch teilweise betroffen aber nicht kritisch. Kann keine Details nennen, bin kein admin oder dev

 

[Poati]

Bei uns waren es auch nur interne Dienste und immerhin nichts, was direkt am Netz hängt. Da haben wir uns aber vorher schon von vielem verabschiedet und wickeln fast alles über VPN ab mittlerweile.

Es war dennoch recht turbulent, allein die ganze Kommunikation mit den Softwareanbietern. Das letzte System wird nächste Woche gepatcht und ist aktuell isoliert.

 

[Azdak]

Bei uns ne kleine Hand voll verwundbarer Systeme, aber nur eins davon Exposte. Das hat dann umso mehr Freude bereitet.
Seit Samstag sind bei uns alle öffentlichen Dienste - völlig wurscht ob verwundbar oder nicht - mit halbherzigen Angriffen bedacht worden. Und da meine ich jetzt nicht die "Security Scans", die gefühlt im Minutentakt eintrudeln, sondern nur welche, die mindestens Code nachladen wollten.

 

[PHuV]

"kann die WAF den Angriffsvektor erkennen?", "hat die Firewall ein Pattern Update erhalten?" uns so weiter.

Viele kleinständische bis mittelständische Unternehmen haben sowas gar nicht.

 

[Moep89]

Ich bin nun wirklich kein DAU, aber mit Programmierung habe ich einfach nichts am Hut. Von daher ist es selbst für einen Nerd und IT-ler in meinem Fall völlig undurchsichtig OB mich das nun betrifft oder nicht. Ich habe beim Routerhersteller (AVM) geschaut und der sagt "Alles gut", der Hersteller meiner NAS-Systeme sagt ebenfalls "Bei uns ist nichts". Damit war's das für die offensichtlichen Dinge. Ob irgendwelche andere Software das nutzt? Keinen blassen Schimmer und trotz einiger Sucherei im Netz nach einfachen und klaren Hinweisen, weiß ich es nach wie vor nicht. Da fehlt mir wirklich die klare Ansage WAS genau da praktisch los ist (theoretisch weiß ich was das "Problem" ist), WO es relevant ist und WIE ich reagieren muss. Dafür, dass es anscheinend so dermaßen kritisch ist, gibt es erstaunlich wenige klare Ansagen, nur Geschwurbel und "Fragen Sie beim Hersteller Ihrer Software nach". Na klar, ich liste erstmal alle Software, Apps, Pakete etc. pp. auf, die ich irgendwo auf irgendwelchen Geräten im ganzen Haus habe und versuche dann deren Hersteller zu erreichen

Von daher fehlt mir auch ganz klar die Antwort: "Keine Ahnung, sagt Ihrs mir"

 

[poly123]

@Moep89 Link unter #132 zur Info, ansonsten sind Gegenmaßnahmen recht individuell, je nach Netztopologie.

Wenn Reverse-Proxy am Start, mind. im Logging Mode nach den aktuellen IOC (LDAP) ne Regel bauen.

Viel wichtiger, auf Github gibt es Skripte, die rekursiv nach l4j in eigenen Anwendungen suchen, wenn welche gefunden werden, entweder Update (Update auf 2.17) oder die class Datei rausschmeißen (lassen, per Shell Cmd).

 

[UNDERESTIMATED]

Da kam so einiges durch unsere FirmenApp, glücklicherweise bin ich aber im Urlaub, daher gnihihihi.

Wenn die das bis Neujahr nicht halbwegs auf die Kette bekommen haben ist es auch nicht mehr mein Problem - dann sollte das so weit eskaliert sein, dass man sowieso nur noch zusehen kann was alles nicht mehr geht.

 

[wayne_757]

Vielleicht kommst du ja beim darüber Nachdenken darauf, wieso es npm, yarn, composer & co gibt

Und jetzt die große Quizfrage an dich:
Welcher Paketmanager upgraded das kaputte log4j Paket auf dem System?