Dezember 2021
Autor:in des Beitrags
Benedikt
Geschäftsführer
LinkedIn
Veröffentlicht am
13.12.2021 von Benedikt
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Sicherheitslücke

Sicherheitsrisiko Log4J minimieren

Die weltweite Sicherheitslücke in der Java-Logging-Library Log4J macht gerade Schlagzeilen. Und das zu Recht, denn erste Angriffe laufen bereits. Die kritische Zero-Day-Sicherheitslücke wird als „log4Shell“ bezeichnet und betrifft Unternehmen weltweit – darunter auch bekannte Namen wie Apple, Twitter oder Amazon. Wir zeigen Ihnen, wie Sie das Sicherheitsrisiko Log4J minimieren können, schnell und einfach.

WARUM DIE SICHERHEITSLÜCKE SO KRITISCH IST

Aufgrund der weiten Verbreitung der Bibliothek ist es nur schwer einzuschätzen, um wie viele Produkte es sich tatsächlich handelt. Es ist jedoch sehr wahrscheinlich, dass die Mehrheit aller Java- und Kotlin-Projekte weltweit betroffen sind. Dazu kommt, dass die Lücke sehr leicht angreifbar ist. Für einen erfolgreichen Exploit braucht es nur einen Endpunkt mit einem beliebigen Protokoll der log4j einsetzt oder der Daten an eine Komponente sendet, welche Log4j einsetzt.

Das ermöglicht es den Angreifern einen Exploit-String zu senden und eine Protokollanweisung, die die Zeichenkette aus dieser Anfrage protokolliert. Diese Protokollanweisung verweist auf eine Serverinstanz mit weiterem Schadcode. Dabei wird offenbar nicht geprüft, ob es sich um einen eigenen oder fremdgesteuerten Server handelt.

MIT CITRIX ADC DAS SICHERHEITSRISIKO LOG4J MINIMIEREN

Die gute Nachricht ist, es gibt die Möglichkeit bekannte Angriffe zu blockieren und damit das Risiko, dass die Sicherheitslücke ausgenutzt werden kann, zu reduzieren. Mit Hilfe von Citrix ADC bieten sich zwei Wege an. Wir zeigen Ihnen, wie Sie sich gegen das Sicherheitsrisiko schützen können. Citrix ADC ist laut Hersteller selbst nicht von der Lücke betroffen.

Citrix ADC bietet grundsätzlich zwei Varianten um Angriffe mit dem Log4j2 Exploit (CVE-2021-44228) gegen betroffene Anwendungen abzuschwächen.

 

Variante 1: Responder Policy

Die Ausnutzung der Schwachstelle kann über eine Responder Policy abgefangen und gedropped werden. Diese Lösung ist in allen Lizenzstufen möglich und wird offiziell seit dem 14.12.2021 vom Hersteller empfohlen.

Wie genau funktioniert das?

Man muss zuerst folgende CLI-Commands für die Responder-Policy über SSH auf dem Citrix ADC einspielen:

# Citrix CVE 2021 44228 Mitigation Policy
#
# add pattern set
add policy patset patset_cve_2021_44228
bind policy patset patset_cve_2021_44228 ldap -index 1
bind policy patset patset_cve_2021_44228 http -index 2
bind policy patset patset_cve_2021_44228 https -index 3
bind policy patset patset_cve_2021_44228 ldaps -index 4
bind policy patset patset_cve_2021_44228 rmi -index 5
bind policy patset patset_cve_2021_44228 dns -index 6
#
# add responder policy
add responder policy mitigate_cve_2021_44228 "HTTP.REQ.FULL_HEADER.SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE.AFTER_STR(\"${\").BEFORE_STR(\"}\").CONTAINS(\"${\") || HTTP.REQ.FULL_HEADER.SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE.SET_TEXT_MODE(IGNORECASE).STRIP_CHARS(\"${: }/+\").AFTER_STR(\"jndi\").CONTAINS_ANY(\"patset_cve_2021_44228\") || HTTP.REQ.BODY(8192).SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE.AFTER_STR(\"${\").BEFORE_STR(\"}\").CONTAINS(\"${\") || HTTP.REQ.BODY(8192).SET_TEXT_MODE(URLENCODED).DECODE_USING_TEXT_MODE. SET_TEXT_MODE(IGNORECASE).STRIP_CHARS(\"${: }/+\").AFTER_STR(\"jndi\").CONTAINS_ANY(\"patset_cve_2021_44228\")" DROP
#
# bind responder policy global
bind responder global mitigate_cve_2021_44228 10 END -type REQ_OVERRIDE
#
# save config
save c
#

Die Policy wird global gebunden und schützt daher alle über den ADC bereitgestellten Services mit HTTP und SSL Offloading.

Über den Hit-Counter der Responder Policy können mögliche unterbundene Zugriffe eingesehen werden:

WICHTIG: Die Policy funktioniert nur bei Services, bei denen der ADC den Inhalt in Klartext sehen kann (u.a. kein Support für TCP, SSL-Bridge, UDP, etc.)

ACHTUNG: Die Policy kann zu erhöhter LAST auf dem ADC führen, daher empfiehlt es sich das Performance Monitoring verstärkt im Auge zu behalten.

 

 

Variante 2: Citrix ADC WAF Signaturen für CVE-2021-44228

Citrix hat Web Application Firewall (WAF) Signaturen zur Mitigation des CVEs veröffentlicht.

Mit dem Einsatz der aktuellen Signaturen (Version 73) können die Angriffe gleichwertig blockiert werden. Im Unterschied zu den Responder Policies ziehen die WAF Signaturen allerdings nur auf Services mit aktiver WAF Konfiguration und es ist eine Citrix ADC Premium oder Platinum Lizenz notwendig. Vorteil dieser Lösung: Man kann davon ausgehen, dass es regelmäßig angepasste Signaturen geben wird.

 

 

Sie möchteN mehr infos?

Wir sind für SIE da.

Wenn auch Sie von der Sicherheitslücke Log4J betroffen sind, melden Sie sich gerne direkt bei uns. Wir helfen Ihnen schnell und zielorientiert das Risiko zu minimieren.

BENEDIKT HENGHUBER | Head of Access and Security

+49 89 71040920

benedikt@provectus.de

Zum Kontaktformular

Das könnte dich auch interessieren

Zum Infohub
Blogbeitrag

Provectus Microsoft Copilot Jumpstart: Ihre Vorteile

Provectus ist Microsoft Copilot & Agents at Work Jumpstart Ready Partner und gibt die Förderung direkt an Sie weiter. So ermöglichen wir unseren Kund:innen einen finanziell erleichterten Einstieg in Microsoft Copilot und KI-Agents.
Weiterlesen
Blogbeitrag

Hessische Beauftragte für Datenschutz und Informationssicherheit (HBDI) veröffentlichen Bericht zur datenschutzkonformen Nutzung von Microsoft 365

Der HBDI bestätigt: Microsoft 365 kann unter bestimmten Bedingungen DSGVO-konform eingesetzt werden. Der Bericht ordnet rechtliche und technische Aspekte ein.
Weiterlesen
Blogbeitrag

Endgeräte-Sicherheitsprüfung mit deviceTRUST: Windows Update-Stand & Browser-Versionen als Zugangskriterium für Citrix 

Erfahren Sie, wie deviceTRUST mit OS- und Browser-Checks unsichere Endgeräte stoppt und Ihren Citrix-Zugang spürbar sicherer macht.
Weiterlesen
Blogbeitrag

STUDIE zur Microsoft 365 Sicherheit 2025: Unternehmen müssen ihre Strategie umdenken 

Die Studie „State of Microsoft 365 Security 2025“ zeigt: Unternehmen unterschätzen ihre Sicherheitsrisiken. Fehlkonfigurationen, fehlende MFA und fehlende Backups machen M365 zur Gefahr. Erfahren Sie, wie Zero Trust, Evergreen und Backup-Strategien Ihre Umgebung wirklich schützen.
Weiterlesen
Blogbeitrag

Microsoft neue hybride Bereitstellungsoptionen für Azure Virtual Desktop auf Ignite 2025

Die neue Option erlaubt es, VM´s als Arc-enabled Servers zu registrieren und als Session-Hosts für Azure Virtual Desktop zu nutzen.
Weiterlesen
Webinar

Webinar: Unternehmens-KI ohne Medienbruch – Wissen sicher und zentral in Microsoft Teams nutzen 

Erfahren Sie im Webinar, wie Sie KI sicher in Microsoft Teams integrieren, Unternehmenswissen zentral bündeln, Medienbrüche vermeiden und eine leistungsfähige Azure-Infrastruktur für moderne KI-Lösungen aufbauen.
Weiterlesen
Webinar

Webinar am 10.12. – Zero Trust: Seit Jahren auf der Agenda, aber nie im Budget

Erfahren Sie im Webinar, warum Zero Trust jetzt höchste Priorität hat. KI erhöht die Risiken, fehlende Sicherheitsarchitektur bremst. So entwickeln Unternehmen ihre Zero-Trust-Strategie weiter.
Weiterlesen
Blogbeitrag

Microsoft Teams erkennt den Bürostandort

Was bedeutet das neue Feature rechtlich? Die Antwort darauf beleuchten wir im Interview mit Wilfried Reiners, Anwalt Für IT-Recht.
Weiterlesen
Webinar

Webinar: Strategiewechsel im VDI-Segment? Citrix & Microsoft im Vergleich

Dieses Kostenlose Webinar richtet sich an IT-Entscheider & App-Virtualisierungs-Verantwortliche, die vor der Entscheidung stehen, ob ein Wechsel zu Microsoft AVD oder Windows 365 sinnvoll ist.
Weiterlesen
Blogbeitrag

Microsoft M365-Kit im Praxistest

Das M365-Kit bietet strukturierte Vorlagen für Datenschutz-Dokumentation, bleibt jedoch stark Microsoft-zentriert und erfordert eigene Prüfungen zu Themen wie Telemetriedaten, Löschfristen und Drittlandtransfers.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
©provectus 2024