LOG4J EXPLOIT

  • Erste Selbsthilfe für den LOG4J LOG4SHELL EXPLOIT:

    Achtung: Diese Schnellhilfe ist nur für Netzwerkadministratoren gedacht, die mit Serverumgebungen zu tun haben. Private Endanwender können dies, wenn sie Lust und Zeit haben zwar auch machen, aber es besteht keine Notwendigkeit. In einer normalen privaten Umgebung wird es zu keinen wesentlichen Erkenntnissen kommen.

    Ob die LOG4J Bibliothek in deinem Netzwerk eingesetzt wird, kannst du in einem ersten Step wie folgt analysieren:

    1. Auf einer Windows-Kiste, registriere dich auf dem Portal RUMBLE.

    Du musst dich zunächst nicht für die kostenpflichtige Version registrieren.

    RUMBLE ist ein professioneller Netzwerkscanner, der dir hilft festzustellen, was gerade so abgeht.

    2. Lade die Installationsdatei vom RUMBLE herunter und führe diese auf einem Windows-Rechner aus. Diese Installation verbindet deinen lokalen Rechner mit der RUMBLE-CLOUD. Achte darauf, dass der Rechner am besten via LAN-Kabel an einem SWITCH angeschlossen ist, welcher FULL-Access auf Deine Netze und Subnetze hat.


    3. Lasse einen Netzwerkscan laufen. Gedulde dich, es dauert. Lasse ihn zu Ende laufen. Trinke Kaffee dabei.


    4. Wenn dir langweilig ist, lese dich in den aktuellen APACHE Patch ab der Version LOG4J V2.15.0. ein, welcher die Sicherheitslücke schliesst. Du findest die Informationen hier:

    DOWNLOAD APACHE LOG4J 2

    5. Überprüfe im Anschluß an den SCAN, ob die Systeme deines Netzwerkes alle aufgeführt sind.

    6. Wechsle im Dashboard von RUMBLE auf den Bereich Inventory/Assets.

    7. Kopiere die nachfolgende Abfrage und lasse sie durch die RUMBLE-Console laufen

    (Abfrage aktualisiert am 21.12.2021):

    product:atlassian or product:avaya or product:coldfusion or product:coyote or product:cpanel or product:"elastic search" or product:druid or product:flink or product:graylog or product:hadoop or product:horizon or product:imc or product:jamf or product:jboss or product:jetty or (product:"kerio connect" and protocol:http) or product:logstash or product:metabase or product:minecraft or product:mongodb or product:neo4j or product:openfire or product:pega or product:recoverpoint or product:resin or product:rundeck or product:symantec or product:sonicwall or product:solarwinds or product:sophos or product:splunk or product:tableau or product:tomcat or product:="ubiquiti unifi" or product:"vmware horizon" or product:"vmware vcenter" or product:"vmware vrealize" or product:"vmware site recovery" or product:vmanage or product:wowza or hw:netapp or hw:imc or hw:"ucs manager" or hw:"crosswork son appliance" or hw:"site recovery manager" or hw:sonicwall or tcp_port:8983 or tcp_port:9092 or tcp_port:7077 or tcp_port:5347 or protocol:cassandra or protocol:elasticsearch

    8. Kuck was passiert und was du angezeigt bekommst.

    9. Entscheide Weise.


    10. Mehr Informationen kannst du hier finden:

    Finding applications that use Log4J

    WIR ÜBERNEHMEN KEINE HAFTUNG FÜR DIESEN TIPP. DU SOLLTEST DIR AM ENDE SELBER IM KLAREN DARÜBER SEIN, WAS DU DA SO TUST! FUMMLE NICHT WILD UND PLANLOS IN NETZEN!