Log4j im eigenen Netzwerk finden..

[-jody-]

Das Thema Log4j wird ja nun schon seit ein paar tagen heftigst im netz diskutiert...

Meine Frage hierzu lautet nun:
Kennt jemand einen Weg, wie man diese Schwachstelle im eigenen Netzwerk aufspüren kann?

 

[rednag]

Auf NAS/Linux-Systemen sollte das so ähnlich wie find / -iname "*log4j*" sein.

 

[blurrrr]

https://github.com/cisagov/log4j-affected-db Ansonsten selbst bei den Anbietern der Software schauen, welche man laufen hat.

 

[-jody-]

Danke
Das hilft ja schon mal weiter!

 

[UdoAA]

Hmm, mein Hersteller des WLAN-Router hat am Freitag recht kurz nach dem letzten Firmware-Update eine neue Version veröffentlicht. Ein Schelm wer böses dabei denkt.

Edit: Und in den Release-notes stand auch als Grund security-vulnerabilities.

 

[Mavalok2]

Wer keine Dienste offen im Internet stehen hat, kann das Ganze schon mal eine Stufe entspannter angehen. Beim Lesen diversen Berichte und auch Post in Foren merkt man schon, da schieben einige richtiggehend Panik, vermutlich nicht mal zu unrecht. Aber irgendwie ist das Ganze auch wieder Dauerzustand, von einer Lücke zur nächsten. Im Moment ist es virenmässig sowohl digital als auch analog biologisch äußerst unschön, mal ganz positiv formuliert.

 

[azrael783]

Ja, das Thema hat uns kurz vor Weihnachten mal so richtig schön den Jahresabschluss versaut Die Kollegen wurden das erste Mal Freitag Abends gegen 19 Uhr an den Rechner geklingelt und die darauf folgende Woche sah auch nicht besser aus ... Jetzt drücken alle die Daumen, dass nicht noch weitere Lücken auftauchen und die Feiertage komplett im Eimer sind. Hoffen wir, dass es Virus technisch sowohl analog als auch digital nächstes Jahr besser wird.

 

[blurrrr]

Hier nochmal ein kleiner Nachtrag zum aufspüren der log4j-Lücke... Es gibt ein Python-Script auf Github, mit welchem man Ziele auf die Schwachstellen (CVE-2021-44228 und CVE-2021-45046) prüfen kann:

https://github.com/cisagov/log4j-scanner/tree/master/log4-scanner

Wünsche viel Vergnügen beim durchforsten der eigenen Infrastruktur

 

[UdoAA]

Funzt bei mir nicht, das Script bemäkelt in Line 21 ein fehlendes Modul "Crypto"

 

[blurrrr]

https://github.com/cisagov/log4j-scanner/blob/master/log4-scanner/requirements.txt hatteste reingeschaut?
Denke, da fehlt dann wohl einfach "PyCryptodome" (+ggf. noch der Rest), hab es selbst nicht getestet.

 

[Mavalok2]

Und wer sagt, dass man sich nicht gerade mit so einem Tool was einfängt? In der Hektik hat sich vermutlich bis jetzt noch niemand diese ominöse Hilfstool angesehen. Bei solchen Tools bin ich immer extrem vorsichtig.

 

[blurrrr]

Immer schön dran denken, die komplette ISO von irgendwelchen Linux-Distros durchzugehen, könnte ja mal wieder ein Repo komprimitiert sein... (von irgendwelchen NSA-Schnüffel-Windows-Updates mal ganz zu schweigen!)....

...


P.S.: Der Quellcode von grade mal 400 Zeilen liegt da offen rum, kann jeder reinschauen und...

In der Hektik hat sich vermutlich bis jetzt noch niemand diese ominöse Hilfstool angesehen

->

904 stars
41 watching
139 forks

Ich glaube schon, dass sich das "einige" Leute angeschaut haben...

 

[Mavalok2]

Ob davon wohl alle Python verstehen / lesen können? Wie gut ist Dein Python?

 

[blurrrr]

Naja, das geht aber doch noch... (vor allem, wenn es relativ klar strukturiert und formuliert ist). Davon ab, bin ich aber sowieso kein Programmierer. Würdeste mir jetzt Assembler vor die Nase halten, sähe das natürlich mal ganz anders aus, da würde ich definitiv dicke Backen machen