CVE-2021-45046, CVE-2021-44228 Erkennung: Schwachstellen in der Log4j Java-Bibliothek
Inhaltsverzeichnis:
Noch ein weiteres Kopfzerbrechen für SOC-Teams — Vorsicht vor der neuesten Log4j-Schwachstelle CVE-2021-45046! Die Cybersecurity-Welt wurde gerade durch eine zunehmende Anzahl von Ausnutzungsversuchen für CVE-2021-44228 erschüttert, eine kritische Zero-Day-Schwachstelle, die die Apache Log4j Java-Protokollierungsbibliothek betrifft, während ein weiterer Log4j-RCE-Fehler mit hoher Schwere, verfolgt als CVE-2021-45046, auf der Bildfläche erscheint.
CVE-2021-45046 Beschreibung
Die neueste CVE-2021-45046-Schwachstelle wurde nur einen Tag nach der Veröffentlichung der Log4j-Version 2.16.0 am 14. Dezember entdeckt und erhielt den CVSS Score von 3.7. Später, aufgrund der hochbewerteten Risiken, die sie mit sich bringt, erhielt sie die Einstufung „kritischer Sicherheitsimpact“ mit einem dramatisch erhöhten Score von 9.0. Laut der Mitteilung der Apache Software Foundation, betroffen die neu entdeckte Schwachstelle alle Log4j-Versionen von 2.0-beta9 bis 2.15.0 (ausgenommen 2.12.2).
Log4Shell (СVE-2021-44228) Beschreibung
Eine weitere berüchtigte Zero-Day-Schwachstelle, die zuerst in Log4j entdeckt wurde, bekannt als Log4Shell or LogJam, ist ein Problem der unauthentifizierten Remote-Code-Ausführung, das eine vollständige Systemkompromittierung ermöglicht. Der Fehler ist extrem einfach auszunutzen, und mit mehreren im Internet verbreiteten PoCs wird es für Gegner zu einer trivialen Angelegenheit. Als Ergebnis können Hacker Remote-Code-Ausführungsangriffe starten, um die vollständige Kontrolle über den betroffenen Server zu erlangen.
Die Analyse von CVE-2021-44228 zeigt, dass alle Systeme, die Log4j 2.0-beta9 bis 2.14.1 ausführen, anfällig sind. Außerdem, da das Sicherheitsproblem die Standardkonfigurationen der meisten Apache-Frameworks, wie Apache Struts2, Apache Solr, Apache Druid, Apache Flink, betrifft, sind eine Vielzahl von Software- und Webanwendungen, die sowohl von Unternehmen als auch von Einzelanwendern genutzt werden, den Angriffen ausgesetzt.
Das Sicherheitsteam von Alibaba Cloud hatte die Schwachstelle erstmals Ende November 2021 entdeckt und Apache gemeldet. Bemerkenswerterweise wurde sie zunächst auf Minecraft-basierten Servern identifiziert, wo Angreifer versuchten, bösartigen Code auf Clients auszuführen, die die Java-Version des äußerst beliebten Spiels liefen. Nachdem die Ursache des Problems in Log4j identifiziert wurde, begannen bald darauf Exploit-Code-Beispiele online zu erscheinen.
Derzeit melden Sicherheitsexperten internweite Scans nach anfälligen Systemen. Außerdem hat CERT New Zeland gewarnt vor mehreren realen Ausnutzungen.
CVE-2021-44228: Log4j RCE Erkennung
Alle Benutzer, die anfällige Versionen von Log4j verwenden, sollten so schnell wie möglich auf log4j-2.15.0-rc1 aktualisieren .. Zusätzlich wird Organisationen empfohlen, jegliche bösartige Aktivität im Zusammenhang mit CVE-2021-44228 zu überwachen und nach Anomalien zu suchen, die beweisen, dass sie kompromittiert wurden. Um eine rechtzeitige Angriffserkennung zu verbessern, hat das SOC Prime Team eine Reihe dedizierter Sigma-Regeln erstellt. Sicherheitsexperten können die Regeln von SOC Primes Detection as Code-Plattform herunterladen:
Log4j RCE [CVE-2021-44228] Exploitation Detection Patterns (über Webserver)
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix und Open Distro.
Die Regel ist mit dem neuesten MITRE ATT&CK® Framework v.10 abgestimmt, das die Taktik des initialen Zugangs mit der Technik Exploit Public-Facing Application als Haupttechnik (T1190) adressiert.
Log4j RCE [CVE-2021-44228] Exploitation Detection Patterns (über Proxy)
Log4j RCE [CVE-2021-44228] Exploitation Detection Patterns (über Schlüsselwörter)
Um Organisationen dabei zu helfen, stets wachsam zu bleiben, hat das SOC Prime Team kürzlich die neueste Sigma-basierte Regel veröffentlicht, um potenzielle Ausnutzungsversuche von CVE-2021-44228 zu erkennen. Diese Regel erkennt mögliche Log4j-Ausnutzungsmuster basierend auf Proxy-Logs und dem Herunterladen einer bösartigen Klassen-Datei, die zur Erstellung eines umgekehrten Bash-Shells führt:
Mögliche bösartige Remote-Java-Class-File-Loading [Log4j/CVE-2021-44228] (über Proxy)
CVE-2021-45046 Erkennung und Minderung
Alle Benutzer, die Java 8 oder höher verwenden, sollten auf die neueste Version Log4j 2.16.0aktualisieren, da sich frühere Abmilderungen in Apache Log4j 2.15.0 als unvollständig erwiesen haben. Um Organisationen zu helfen, CVE-2021-45046 zu erkennen und das Risiko von Ausnutzungsversuchen zu minimieren, hat das SOC Prime Team kürzlich eine dedizierte Sigma-basierte Regel veröffentlicht, die Log4j-Ausnutzungsmuster und Protokolleinträge in allen verfügbaren Logdateien identifiziert.
Log4j [CVE-2021-45046] Exploitation Detection Patterns (über Schlüsselwörter)
Melden Sie sich kostenlos auf SOC Primes Detection as Code-Plattform an, um die neuesten Bedrohungen in Ihrer Sicherheitsumgebung zu erkennen, Ihre Logquelle und MITRE ATT&CK-Abdeckung zu verbessern und den ROI Ihrer Organisation für Cybersicherheit zu steigern. Sicherheitsexperten können auch unserem Threat-Bounty-Programm beitreten, um ihre eigenen Erkennungsinhalte zu monetarisieren.
