Schutz vor der Apache Log4j2-Sicherheitslücke (CVE-2021-44228)

Bitte beachten Sie: Seit der Erstveröffentlichung dieses Blogs hat F5 nachfolgende CVEs (CVE-2021-45046, CVE-2021-4104 und CVE-2021-45105) überprüft und festgestellt, dass die unten beschriebenen Schutzmechanismen auch für diese Schwachstellen wirksam sind.

Seit dem Bekanntwerden der Sicherheitslücke am 9. Dezember arbeiten Sicherheitsteams auf der ganzen Welt rund um die Uhr daran, die Bedrohung durch die Sicherheitslücke Apache Log4j2 (CVE-2021-44228) zu verstehen, deren Gefährdung zu identifizieren und Gegenmaßnahmen zu ergreifen. Viel hat gewesen zu der Sicherheitslücke, die auch als Log4Shell bezeichnet wird, aber kurz gesagt handelt es sich um eine Remote Code Execution-Sicherheitslücke, was bedeutet, dass Angreifer bestimmte Daten an eine anfällige Anwendung senden können, um eine Reihe von Aktionen auszulösen, die zur Gefährdung der Zielanwendung führen. Angreifer können dies auf verschiedene Weise ausnutzen, beispielsweise indem sie einen Kryptowährungs-Miner installieren oder vertrauliche Daten aus der Anwendung extrahieren.

Schwachstellen, deren Ausnutzung, Eindämmung und Beseitigung immer störend sein können. Deshalb sieht F5 seine Aufgabe darin, seinen Kunden nach Kräften Fachwissen und Unterstützung bereitzustellen. Teams bei F5 haben aktiv an Tools und Anleitungen gearbeitet, um den bereits überlasteten Anwendungs- und Sicherheitsteams dabei zu helfen, diese erhebliche Bedrohung für die Branche einzudämmen.

Wir haben unsere F5-Produkte und -Dienste ausgewertet und sind auf Grundlage der aktuellen Informationen zu dem Schluss gekommen, dass die Produkte BIG-IP, NGINX, Silverline, Volterra und Threat Stack nicht anfällig für diese Probleme sind. Für F5 Managed Services haben wir Kunden über unsere normalen Kommunikationskanäle kontaktiert. Unsere Sicherheitshinweise auf AskF5 enthalten immer die aktuellsten Informationen zu unseren Produkten und Lösungsansätzen für Log4j-Schwachstellen:

• K19026212: Apache Log4j2 Remote Code Execution-Sicherheitslücke CVE-2021-44228
• K24554520: Apache Log4j Remote Code Execution-Sicherheitslücke CVE-2021-4104
• K32171392: Apache Log4j2-Sicherheitslücke CVE-2021-45046
• K34162192: Apache Log4j2 Denial-of-Service-Sicherheitslücke CVE-2021-45105

Die Nutzung von F5-Produkten und -Diensten zur Minderung von Log4j-Schwachstellen ist eine schnelle und effektive Möglichkeit, das Risiko zu mindern, das diese CVEs für Ihre Umgebung darstellen. Zur langfristigen Behebung des Problems empfehlen wir unseren Kunden und ihren Entwicklungsteams dringend, alle anfälligen Log4j-Bibliotheken aus den Anwendungen zu aktualisieren oder zu entfernen (sofern sie nicht mehr benötigt werden).

Nachfolgend finden Sie ausführlichere Informationen dazu, wie wir Sie in unserem gesamten Produkt- und Dienstleistungsportfolio durch umfassende und reaktionsschnelle Sicherheitslösungen unterstützen.

F5 Sicherheitsvorfall-Response-Team (SIRT)

Wenn Sie angegriffen werden oder den Verdacht haben, dass eine Sicherheitslücke besteht, wenden Sie sich bitte an den F5-Support und fordern Sie eine Eskalation an das F5 SIRT an. Dieses Team steht rund um die Uhr zur Verfügung und bietet Beratung zu allen Themen, vom Patchen der F5-Software und -Systeme bis hin zur Konfiguration und iRule-Unterstützung zur Minderung von Angriffen oder der Offenlegung von Sicherheitslücken.

BIG-IP Advanced WAF

F5 hat einen Satz Signaturen für BIG-IP Advanced WAF und ASM veröffentlicht, die bekannte Angriffsvektoren für Log4j-Schwachstellen blockieren. Zum Zeitpunkt der Erstellung dieses Artikels stehen insgesamt neun Signaturen des F5 Threat Research-Teams zur Verfügung, darunter zwei, die innerhalb weniger Stunden nach der ersten Veröffentlichung des CVE verfügbar waren. Wir aktualisieren die Signaturen kontinuierlich, um den Schutz vor Bypass-Versuchen zu verbessern. Stellen Sie daher sicher, dass Sie über das neueste Attack Signature Update (ASU)-Paket verfügen.

Weitere Informationen dazu, wie Sie diese Schwachstellen über Ihre vorhandene BIG-IP Advanced WAF-Richtlinie (oder ASM-Richtlinie) beheben können, finden Sie in dieser Sicherheitsempfehlung .

BIG-IP iRule

Für F5 BIG-IP-Kunden, die keine erweiterten WAF- oder ASM-Funktionen verwenden, kann eine F5 iRule auf Anwendungen angewendet werden, um den auf bestimmte CVEs abzielenden schädlichen Datenverkehr zu erkennen, zu protokollieren und zu löschen. Unser erster Sicherheitshinweis enthält weitere Informationen und Anleitungen zur Implementierung der iRule.

NGINX App Protect

Kunden von NGINX App Protect erhalten Signaturaktualisierungen gleichzeitig mit Kunden von BIG-IP Advanced WAF, wodurch eine konsistente Anwendungssicherheit unabhängig von der F5-Plattform gewährleistet wird. Um entsprechende Schwachstellen über Ihre NGINX App Protect-Konfiguration zu mindern, stellen Sie bitte sicher, dass Ihre Signaturen aktualisiert sind, lesen Sie dieses Dokument und stellen Sie sicher, dass der Angriffstyp „Server Side Code Injection“ für Ihre WAF-Richtlinie aktiviert ist. Weitere Informationen finden Sie in einem kürzlich veröffentlichten Blogbeitrag .

Volterra WAF

Unsere Volterra WAF-Plattform hat wie NGINX App Protect und BIG-IP Advanced WAF aktualisierte Signaturen erhalten, um das Risiko durch Log4j-Schwachstellen weiter zu verringern. Diese Signaturen sind jetzt in der WAF-Standardrichtlinie enthalten und unsere Volterra WAF-Kunden müssen keine weiteren Maßnahmen ergreifen, um dieser Bedrohung entgegenzuwirken.

F5 Silverline

Das F5 Silverline-Team hat die notwendigen Abhilfemaßnahmen implementiert, um sicherzustellen, dass Kundenanwendungen vor den entsprechenden Schwachstellen geschützt sind. Das F5 Silverline SOC überwacht kontinuierlich die Bedrohungen und ergreift in Abstimmung mit unserem Bedrohungsforschungsteam und unseren Kunden die erforderlichen Abwehr- und Schutzmaßnahmen. Das Silverline-Team fungiert als Erweiterung Ihres eigenen AppSec-Teams und arbeitet rund um die Uhr in Ihrem Namen.

Wenn Sie spezielle Fragen zu Ihrer Silverline-Konfiguration haben, wenden Sie sich bitte an das SOC unter: support@f5silverline.com . Weitere Informationen zu den Silverline-Diensten finden Sie unter: https://www.f5.com/products/security/silverline

Bedrohungsstapel

F5 hat vor Kurzem Threat Stack übernommen und begrüßt die umfassenden Prüf-, Erkennungs- und Berichtsfunktionen, die der Threat Stack-Dienst bietet. Der Threat Stack-Dienst umfasst bereits mehrere Erkennungsregeln, die auf eine Gefährdung von Log4j hinweisen können. Dazu gehören das Starten von Diensten als Root, von einer Shell ausgeführte Dienste und Eskalationsversuche. Weitere Einzelheiten sind in diesem Blogbeitrag verfügbar.

Wenn Sie an Threat Stack-Diensten interessiert sind, die Ihnen dabei helfen, Ihre Anwendungen vor aktuellen Log4j-Bedrohungen zu schützen, ungewöhnliche Aktivitäten zu erkennen, die Einhaltung von Vorschriften sicherzustellen und umfassende Einblicke in die Anwendung zu erhalten, wenden Sie sich bitte an Ihren aktuellen F5-Vertriebsmitarbeiter oder besuchen Sie: https://www.threatstack.com

Shape-Sicherheit

Die meisten Versuche, Schwachstellen auszunutzen, beginnen mit automatisierter Aufklärung. Vor diesem Hintergrund ist die KI-gesteuerte Bot-Abwehr von Shape Security eine wichtige erste Verteidigungslinie, um diese automatisierten Scans zu eliminieren und es Angreifern schwerer zu machen, diese Schwachstelle in Ihren internetbasierten Webanwendungen zu entdecken. Die Shape AI Cloud ermöglicht eine nahezu Echtzeit-Anpassung an botgesteuerte automatisierte Angriffe, um mit den sich ständig ändernden Taktiken der Angreifer, die Botnetze betreiben, Schritt zu halten. Wenn Sie mehr über Shape erfahren möchten, besuchen Sie bitte: https://www.f5.com/products/security/shape-security

Auf dem Laufenden bleiben

Die aktuellsten Informationen zu den Risikominderungsmaßnahmen von F5 finden Sie in unseren Sicherheitshinweisen zu CVE-2021-44228 , CVE-2021-4104 und CVE-2021-45046 . Um weitere Informationen zu erhalten, können Kunden den folgenden Ressourcen entnehmen:

Weitere F5-Blogs

• So mildern Sie Log4j heute und verhindern zukünftige Exploits von Catherine Newcomb und Navpreet Gill
• Erkenntnisse aus Log4j: Überstürzen Sie die Sanierung nicht von Lori MacVittie

F5 Labs

• Erklärung der weit verbreiteten Log4j-Sicherheitslücke
• Log4Shell: Ein Neustart (derselben alten) Sicherheitsprinzipien in der Folge

DevCentral

• DC Connects Live-Show zur Log4j2-Sicherheitslücke
• Milderung von Log4j (CVE-2021-44228) mit benutzerdefinierten Signaturen der AFM-Protokollprüfung
• Schützen Sie Ihren Kubernetes-Cluster mit BIG-IP vor der Apache Log4j2-Sicherheitslücke

NGINX

•  Milderung der Log4j-Sicherheitslücke mit NGINX

Bedrohungsstapel

• Hochpräzise Bedrohungserkennung für die Log4j-Sicherheitslücke

Wir werden unsere Kunden weiterhin mit den neuesten Informationen zu entsprechenden Sicherheitslücken versorgen und oben Links zu Ressourcen hinzufügen. Darüber hinaus können Kunden Benachrichtigungen zu Softwareversionen, Sicherheitswarnungen und anderen wichtigen Updates abonnieren .

_______

Von Scott Altman, Sr. Direktor der Global Security Solutions Architects, F5