2 Min. Lesezeit

Log4j Zero-Day-Exploit: Vulnerability Management Scanner zeigt Handlungsbedarf

Picture of DriveLock DriveLock Jan 13, 2022 2:26:16 PM

Hackerangriff Cyberattack #News Vulnerability Management

Log4j Zero-Day-Exploit: Vulnerability Management Scanner zeigt Handlungsbedarf

Seit mehreren Wochen ist Log4j in aller Munde. Auch wir haben uns hierzu bereits in einem ausführlichen Blogbeitrag zu Log4j und Log4Shell geäußert.

Im Internet gibt es viele Beschreibungen der Schwachstelle und der Kritikalität (CVE-2021-44228 in Apache Log4j 2). Dennoch sind viele IT-Abteilungen bereits bei der simplen Frage gefordert: „Bin ich überhaupt betroffen und wenn ja, auf welchen Systemen und in welcher Applikation?"

Es gibt zwar z.B. auf Github eine Zusammenstellung der betroffenen Applikationen, aber hat man diese als Unternehmen auch im Einsatz?

Selbst wenn die IT-Abteilung über ein entsprechendes Asset Management verfügt, bleibt die sogenannte Schatten-IT hier außen vor. (Als Hintergrundinfo können Sie sich hier unseren Webcast "Schatten-IT. Unterschätztes Risiko für die Unternehmens-IT" ansehen.)

Abhilfe schaffen kann hier ein flächendeckendes Vulnerability Scanning, wie es DriveLock für Endgeräte anbietet. (Sehen Sie sich links den Webcast dazu an.) Somit können Sie mit wenig Aufwand alle Systeme scannen und verschaffen sich Klarheit, in welcher Applikation ggf. Handlungsbedarf besteht.

Für die Nutzer unseres DriveLock Vulnerability Managements haben wir ein einfaches und übersichtliches Dashboard gebaut, welches die relevanten Informationen um Log4j bündelt.

DriveLock Vulnerability Management Dashboard

1. Im DriveLock Operations Center wählen Sie „Add new dashboard tab“.
2. In dem Popup-Fenster zum Anlegen eines Dashboards wählen Sie „New dashboard from string“. Anschließend kopieren Sie den nachstehenden String in das Eingabefeld.

{"dataCrc":3377563328,"data":{"type":4,"content":{"rows":[{"id":"02E8F511-406A-4050-A333-3E21DF98833E","factor":2,"index":0,"widgets":[{"id":"CDBB0FAC-FB67-4CBC-8014-1710DFB7CAC0","displayName":"log4j CVEs","factor":1,"index":0,"templateId":"7C6B1F72-10F2-4514-A213-10113D3AFB1E","type":"List","query":"and(contains(description,log4j),eq(isScanable,true))","timespan":null,"groupBy":null,"styleClass":null,"serviceTag":"VulnerabilityCveView","options":{"columns":["activeAffectedComputerCount","supressedAffectedComputerCount","cvssBaseScore","cvssExploitabilityScore","cvssImpactScore","isScanable","id","vulnerabilityTitle","vulnerabilityDescription"],"sortBy":null,"highRange":{},"lowRange":{},"category":1,"icon":"dl-user-monitor","color":"rgba(91,112,139,1)"},"isCustomWidget":true}]},{"id":"2E6BC1EB-6D2B-4C9C-A602-E223D3012D28","factor":2,"index":1,"widgets":[{"id":"2B6557B3-AC26-46B6-89B3-6D05DB69E62C","displayName":"Computers with log4j Vulnerabilities","factor":1,"index":0,"templateId":"B43B8BA3-C80C-4EF0-BD26-7B04EA2B3316","type":"List","query":"and(eq(status,1),contains(vulnerability.description,log4j),or(eq(isSuppressed,__NULL__),eq(isSuppressed,false)))","timespan":null,"groupBy":null,"styleClass":null,"serviceTag":"ComputerVulnerabilityView","options":{"columns":["computer.name","baseScore","exploitabilityScore","impactScore","vulnerability.cveID","vulnerability.title","detectedAt","vulnerability.description"],"sortBy":["computer.name"],"highRange":{},"lowRange":{},"category":3,"icon":"dl-user-monitor","color":"rgba(91,112,139,1)","activateLabels":true,"activateLabelConnector":true,"activateLegend":true,"legendPosition":"right","showTop":0},"isCustomWidget":true}]}],"sortIndex":11,"userId":"C2615E5A-389C-4C0D-AD9B-0B3D18FC13B0","name":"log4j","id":"EC5BC841-D1D3-429A-B4DD-32A94F25FFBF","isReport":false},"templates":[{"id":"7C6B1F72-10F2-4514-A213-10113D3AFB1E","displayName":"log4j CVEs","widthFactor":1,"factor":1,"type":"List","query":"and(contains(description,log4j))","timespan":null,"groupBy":null,"description":"log4j CVE overview","styleClass":null,"styleMapper":null,"serviceTag":"VulnerabilityCveView","options":{"columns":["activeAffectedComputerCount","cveLastModifiedDate","cvePublishedDate","cvssBaseScore","cvssExploitabilityScore","cvssImpactScore","cvssVector","cvssVersion","description","id","isScanable","isSuppressed","lastChange","ovalItemID","severity","supressedAffectedComputerCount","updateCounter","vulnerabilityDescription","vulnerabilityId","vulnerabilityTitle"],"sortBy":null,"highRange":{},"lowRange":{},"category":1,"icon":"dl-user-monitor","color":"rgba(91,112,139,1)"},"isCustomWidget":true,"isInternalWidget":false,"isPrivateWidget":false,"ownerId":null,"requiredFeatures":null,"sortIndex":30,"newFontIcon":"dl-table","displayNameResolved":"log4j CVEs"},{"id":"B43B8BA3-C80C-4EF0-BD26-7B04EA2B3316","displayName":"Vulnerability List","widthFactor":1,"factor":1,"type":"List","query":"and(and(eq(status,1),or(eq(isSuppressed,__NULL__),eq(isSuppressed,false)),or(eq(isVulnerabilitySuppressed,__NULL__),eq(isVulnerabilitySuppressed,false))))","timespan":null,"groupBy":null,"description":"","styleClass":null,"styleMapper":null,"serviceTag":"ComputerVulnerabilityView","options":{"columns":["computer.name","baseScore","exploitabilityScore","impactScore","vulnerability.cveID","vulnerability.title","detectedAt"],"sortBy":["computer.name"],"highRange":{},"lowRange":{},"category":3,"icon":"dl-user-monitor","color":"rgba(91,112,139,1)"},"isCustomWidget":true,"isInternalWidget":false,"isPrivateWidget":false,"ownerId":null,"requiredFeatures":null,"sortIndex":30,"newFontIcon":"dl-table","displayNameResolved":"Vulnerability List"}],"version":1}}

Dadurch erhalten Sie ein Dashboard, welches im oberen Bereich die relevanten Vulnerabilities und im unteren Bereich die betroffenen Maschinen anzeigt.

DriveLock Vulnerability Management Scanner