Log4J an einem Beispiel

Log4J oder „Security Vulnerability CVE-2021-44832 (u.a.)“ beschäftigen uns seit dem letzten Jahr.

Grundsätzlich liegt das Problem in einer sehr oft verwendeten Komponente, die „Ereignisse“ in einem Protokoll aufzeichnen soll.

Wenn es gelingt, ein Ereignis zu erzeugen, welches einen bestimmten Link enthält, führt das dazu, dass diese Komponente automatisch etwas aus dem Internet „nachlädt“.

So können Angreifer ihre Schadprogramme in ein System bringen und sich dort „einnisten“.

Wie schon ein einem vorhergehenden Artikel beschrieben, kann man kaum absehen, wo diese Schwachstelle vorhanden ist.

Die Log4J Komponente wird oft eingesetzt.

Ich habe google bemüht um zu sehen, wie sich das Problem bei großen Anbietern wie z.B. HP(E) auswirkt.

HP ist kein unbekannter Anbieter und tatsächlich wurde ich fündig.

Ich will die Liste der betroffenen Produkte einbinden um zu zeigen, welche Dimmension gegeben ist.

SUPPORTED SOFTWARE VERSIONS*: ONLY impacted versions are listed.

HPE XP Performance Advisor Software – 7.5 through 8.4
HPE SimpliVity 380 Gen10 VMware environment
HPE SimpliVity 380 Gen9 VMware environment
HPE SimpliVity 325 Gen10 VMware environment
HPE SimpliVity 325 Gen10 Plus VMware environment
HPE SimpliVity 2600 Gen10 VMware environment
SimpliVity OmniCube VMware environment
HPE 3PAR Service Processor – 5.x
HPE SANnav Management Software – 2.0.0/2.1.1
HPE Intelligent Management Center (iMC) – HPE IMC Standard and Enterprise 7.3 (E0706) and 7.3 (E0706P06)
HPE Ezmeral Container Platform Bluedata EPIC 3.x and 4.x, and HPE Ezmeral Container Platform version 5.x
HPE Ezmeral Data Fabric Ezmeral Data Fabric Core / Client – v6.2.0; MCS – v6.0.1, v6.1.0, v6.1.1 & v6.2.0; Installer – v1.17.0.0 and older
HPE Real Time Management System (RTMS) – RTMS 3.0.x, RTMS 3.1.x
HPE Device Entitlement Gateway (DEG) – 5
HPE Unified Data Management (UDM) – UDM: 1.2009.0, 1.2101.0, 1.2103.0, 1.2105.0, 1.2107.0, 1.2109.0, 1.2109.1
HPE StoreServ Management Console (SSMC) – Prior to 3.8.2.1
HPE Hyper Converged 380 VMware environment
HPE Media Workflow Master (MWM) All versions
HPE Universal IoT (UioT) Platform – 1.6 or later
HPE Dragon – 7.2 and 7.3
HPE Telecom Analytics Smart Profile Server (TASPS) All versions
HPE Telecom Management Information Platform Software Series – only TeMIP Rest Server 8.3.2; TMB 3.4.0
HPE Authentication Server Function (AUSF) – AUSF: 1.2009.0, 1.2101.0, 1.2103.0, 1.2105.0, 1.2107.0, 1.2109.0
HPE User Data Repository (UDR) – UDR: 1.2106.0, 1.2110.0, 1.2112.0
HPE Unstructured Data Storage Function (UDSF) – UDSF: 1.2108.0, 1.2110.0, 1.2112.0
HPE Dynamic SIM Provisioning (DSP) – DSP3.3, DSP3.1, DSP3.4
HPE Remote SIM Provisioning Manager (RSPM) – RSPM1.3.2 & RSPM1.4.1
HPE Service Director (SD) – 3.7.1 and only for the closed loop snmp-adapter
HPE Trueview Inventory Software Series – 8.6.x, 8.7.x
HPE Edge Infrastructure Automation – 2.0.x
HPE Revenue Intelligence Software Series All versions
HPE Network Function Virtualization Director (NFV Director) – 5.1.x, 6.0.x.
HPE Intelligent Assurance – only Analytics on Metrics
HPE Data Management Framework 7 – v7.x
Cray View for ClusterStor – v1.3.1
HPE Ezmeral Ecosystem Pack (EEP) Elastic Search – v6.8.8 and older versions; Data Access Gateway (DAG) – v2.x and older; Hive – v2.3.x and older; HBase – v1.4.13 and older; Kafka HDFS Connector – v10.0.0 and older
HPE Integrated Home Subscriber Server Software Series – I-HSS 4.0.x only when using nHSS 4G/5G IWK function
HPE Virtual Headend Manager (vHM) All versions
HPE Cray EX System Monitoring Application (SMA) All versions
Silver Peak Orchestrator – All customer managed Orchestrator and legacy GMS products are affected by this vulnerability
HPE Infosight for Storage All versions
HPE Hyper Converged 250 System VMware environment
HPE Performance Cluster Manager – Versions 1.4.1 to 1.6
HPE Parallel File System Storage All versions
Cray ClusterStor Data Services – V2.0
HPE 5G Core Stack (5GCS) – 2.2107.0
HPE XP7 Intelligent Storage Manager – v10.0.0-00 to 10.8.0-00
HPE XP7 Automation Director Software – v10.0.0-01 to 10.8.0-00
HP XP Command View Advanced Edition Software – HostDataCollector Component – 8.7.3 to 8.8.1
HPE XP Plugin – vCST (vCenter Storage Plugin) All versions
HPE XP Plugin – Redhat Ansible, Terraform, OLVM All versions
HPE Data Center Fabric Manager (DCNM) – C-Series DCNM 11.3.1, 11.4.1, 11.5.1
Atlas Data Orchestrator All versions – VM access is required to exploit CVE-2021-44228
HPE Enhanced Interactive Unified Mediation (eIUM) – 9.0 (CIS and Cache with Infinispan components only), 10.6.3
HPE ConvergedSystem 700 (CS700) – HPE 3PAR StoreServ SSMC 3.8, HPE 3PAR Service Processor 5.x, HPE StoreServ Management Console (SSMC) All versions
HPE ConvergedSystem 700 for Virtualization Components and Blocks – HPE 3PAR StoreServ SSMC 3.8, HPE 3PAR Service Processor 5.x, HPE StoreServ Management Console (SSMC) All versions
HPE ConvergedSystem 700x (CS700x) – HPE 3PAR StoreServ SSMC 3.8, HPE 3PAR Service Processor 5.x, HPE StoreServ Management Console (SSMC) All versions
HPE ConvergedSystem 700x for Cloud – HPE 3PAR StoreServ SSMC 3.8, HPE 3PAR Service Processor 5.x, HPE StoreServ Management Console (SSMC) All versions
HPE ConvergedSystem 750 for Virtualization – HPE 3PAR StoreServ SSMC 3.8, HPE 3PAR Service Processor 5.x, HPE StoreServ Management Console (SSMC) All versions
HPE ConvergedSystem 750 for Virtualization Components and Blocks – HPE 3PAR StoreServ SSMC 3.8, HPE 3PAR Service Processor 5.x, HPE StoreServ Management Console (SSMC) All versions
HPE Cray System Management – 0.9.6 and 1.0.0

Wow – das ist nicht wenig und einige der aufgezählten Produkte kenne ich selbst von Kunden-Infrastrukturen, wo diese im Einsatz sind.

Nun sollte jedem klar sein – das ist eine willkürlich ausgewählte Liste!

Andere Anbieter wie „Dell“, „Lenovo“, „IBM“ aber auch Anbieter von Software wie z.B. „Microsoft“, „VMware“, „Sonicwall“ u.s.w. sind betroffen.

Das Problem besteht nun in der Aufgabe, wirklich alle potentiell angreifbare Infrastrukturen zu identifizieren.

Ich wage zu behaupten, das ist eine fast unlösbare Aufgabe, weil es mit sehr viel Zeitaufwand und hohen Kosten verbunden sein wird.

Also werden wir auch in Zukunft eine große Menge an „Zielsystemen“ haben, die nur darauf warten, angegriffen zu werden.

Es ist kein Schutz, wenn diese sich im „sicheren Rechenzentrum“ befinden, weil die Angreifer eventuell auf anderen Wegen dazu Zugang bekommen und dann gezielt nach solchen Schwachstellen suchen werden.

Ein erster Schutz besteht eventuell darin, sowohl die Zugriffe auf das Internet als auch DNS-Anfragen konsequent zu protokollieren und nach bestimmten Mustern zu durchsuchen.

Zentrale DNS Infrastrukturen und klar definierte „Übergangspunkte“ zum Internet sind dafür notwendig.

Hier sind es besonders die sog. „LDAP“ Zugriffe in der Form „ldap://[host]/[path]“ auf die man achten sollte.

Jeder Zugriff dieser Art, der das Unternehmen verlässt sollte als Alarm gemeldet werden.

Auf der anderen Seite könnte man diese Zugriffe auch komplett in der Firewall verbieten – wobei jeder Zugriff dennoch gemeldet werden muss, um potentiell betroffene Systeme erkennen zu können.

Ich denke nicht, dass diese Massnahmen einen 100%-igen Schutz bieten, aber es ist auf jeden Fall ein Anfang.

Auch im „Home Bereich“ kann man ähnliche Vorkehrungen treffen, indem man z.B. im Router eine Sperre für und wenn möglich auch Meldung von „LDAP-Zugriffen“ einrichtet.

Aus meiner Sicht gibt es nur sehr wenige Fälle, in denen eine solche Abfrage zu externen Systemen überhaupt legitim ist.

Denken Sie immer daran:

BLOCKIEREN – DOKUMENTIEREN – MELDEN

So schützen wir uns und erkennen problematische Systeme.