Kritisches Sicherheits-Update für alle Policy Manager-Versionen

Referenzen: Log4j-RCE log4shell CVE-2021-44228 CVE-2021-45046 CVE-2021-45105 CVE-2021-44832

Diese Seite wurde zuletzt am 08.03.2023 um 16:16 Uhr geändert.

Betroffene Produkte und Versionen

Folgende Produkte und Versionen sind betroffen, sowohl unter Windows als auch unter Linux:

• Policy Manager Server 13 und älter
• Policy Manager Server 14
• Policy Manager Server 15 bis einschließlich 15.21
• Policy Manager Proxy 13 und älter
• Policy Manager Proxy 14
• Policy Manager Proxy 15 bis einschließlich 15.21
• Endpoint Proxy
• Elements Connector vor 21.49
• Messaging Security Gateway

Bei folgenden Produkte wurde die Lücke CVE-2021-44228 durch ein automatisches Update behoben:

• Elements Connector
• Messaging Security Gateway

Folgende Versionen sind von CVE-2021-44228 nicht betroffen:

• Policy Manager 15.30 (Freigabe 22.12.2021)
• Policy Manager Proxy 15.30 (Freigabe 22.12.2021)
• Elements Connector 21.49

Andere F-Secure-Produkte sind nicht betroffen.

Gegenmaßnahmen

Bei Einsatz der betroffenen Produkte ist ein manuelles Eingreifen notwendig.

Ein von F-Secure bereitgestellter Patch, in dem die Sicherheitslücke behoben ist, muss installiert werden.

Der Patch unterstützt die oben genannten Versionen von Policy Manager Server, Policy Manager Proxy, Endpoint Proxy und Elements Connector ab 13.10. Niedrigere Versionen müssen erst upgegraded werden, bevor sie gepatcht werden können. Versionen älter als 14 werden seit Juni 2021 nicht mehr offiziell unterstützt.

Der Elements Connector wurde automatisch online auf die Version 21.49.96235 aktualisiert. Diese Version ist nicht durch CVE-2021-44228 verwundbar.

Das Messaging Security Gateway wurde automatisch online gepatcht.

In den folgenden F-Secure-Produkten ist ebenfalls eine verwundbare log4j-Version vorhanden. Hier bestehen aber keine Möglichkeiten, die Lücke auszunutzen. Daher werden diese Produkte nicht gepatcht:

• nicht gefährdet: Policy Manager Console
• nicht gefährdet: fspm-definitions-update-tool

Patch "Log4j-nolookups" vom 10.12.2021

Dieser Patch behebt CVE-2021-44228 mit Hilfe der Voreinstellung "log4j2.formatMsgNoLookups=true" bei Policy Manager Server kleiner 15.30 und Policy Manager Proxy kleiner 15.30.

1. Herunterladen des Patches: https://download.f-secure.com/corpro/pm/commons-java-log4j-nolookups.jar
    
2. Bei Bedarf Überprüfen der Integrität des Paketes über den SHA256-Hash: 64f7e4e1c6617447a24b0fe44ec7b4776883960cc42cc86be68c613d23ccd5e0
    
3. Anhalten des Windows-Dienstes "F-Secure Policy Manager Server" oder "F-Secure Policy Manager Proxy" bzw. unter Linux: /etc/init.d/fspms stop
    
4. Kopieren der heruntergeladenen Datei nach:
   • Policy Manager Server Windows, Policy Manager Proxy Windows, Endpoint Proxy Windows:
     C:\Program Files (x86)\F-Secure\Management Server 5\lib\
   • Endpoint Proxy Windows:
     C:\Program Files\F-Secure\ElementsConnector\lib
   • Linux (alle genannten Producte):
     /opt/f-secure/fspms/lib
   Auf ungepatchten Servern ist diese Datei nicht vorhanden.
5. Starten des Windows-Dienstes bzw. unter Linux: /etc/init.d/fspms start

Patch "Log4j-2.17.1" vom 19.01.2022 für Policy Manager Server und Policy Manager Proxy

Dieser Patch behebt CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 und CVE-2021-44832 über die die Log4j-Version 17.1 bei allen Versionen des Policy Managers.

Normalerweise ist der Patch "Log4j-nolookups" vom 10.12.2021 oder eine aktualisierte Version wie der Policy Manager 15.30 ausreichend. Nur in speziell angepassten Installationen oder für manche Vulnerability-Scanner wird dieser Patch benötigt.

Bei Installation diese Patches wird der ältere "Log4j-nolookups" vom 10.12.2021 nicht benötigt.

1. Herunterladen des Patches: https://download.f-secure.com/corpro/pm/log4j-2.17.1.zip
    
2. Bei Bedarf Überprüfen der Integrität des Archivs über den SHA256-Hash: 4041d49d796ea0771584774e6cbc65307c1994b1c938cb2e7837bda6a3b5cec8
    
3. Anhalten des Windows-Dienstes "F-Secure Policy Manager Server" oder "F-Secure Policy Manager Proxy" bzw. unter Linux: /etc/init.d/fspms stop
    
4. Auspacken folgender JAR-Dateien aus dem Archiv.
   • Alle Versionen von Policy Manager Server und Policy Manager Proxy:
       log4j-api-2.17.1.jar
       log4j-core-2.17.1.jar
       log4j-slf4j-impl-2.17.1.jar
   • Policy Manager Server ab Version 14.30 und Policy Manager Proxy ab Version 14.30 zusätzlich:
       log4j-1.2-api-2.17.1.jar
       log4j-web-2.17.1.jar
   In folgende Verzeichnisse:
   • Policy Manager Server Windows, Policy Manager Proxy Windows, Endpoint Proxy Windows:
     C:\Program Files (x86)\F-Secure\Management Server 5\lib\
   • Endpoint Proxy Windows:
     C:\Program Files\F-Secure\ElementsConnector\lib
   • Linux (alle genannten Producte):
     /opt/f-secure/fspms/lib
   Auf ungepatchten Servern sind diese Dateien nicht vorhanden.
    
5. Die alten Versionen zu den kopierten Dateien können gelöscht werden. Sie werden nicht mehr benutzt
    
6. Starten des Windows-Dienstes bzw. unter Linux: /etc/init.d/fspms start

Upgraden

Aktualisieren der betroffenen Produkte auf die oben genannten, nicht betroffenen Versionen.

Policy Manager 15.30 und Policy Manager Procy 15.30 enthalten die Log4j-Version 2.17.0. Wer auf die Version 2.17.1 angewieden ist, muss zusätzlich den Patch "Log4j-2.17.1" vom 19.01.2022 installieren.

Nachtrag 26.04.2022: Der Policy Manager 15.30.96312 vom 26.04.2022 enthält Log4j-2.17.1.

Entfernen alter Dateien

Nach dem Upgrade liegen in dem Verzeichnis der Policy Manager Console alte Versionen der Log4j-Bibliotheken. Diese Dateien werden nicht benutzt und können normalerweise einfach so gelassen werden.

Falls Sie aber solche Dateien entfernen möchten, um beispielsweise Warnhinweise von unspezifischen Sicherheitstools zu vermeiden, können Sie die Policy Manager Console entweder neu installieren oder alternativ die betroffenen Dateien von Hand aufräumen.

• Einfach und gründlich: Policy Manager Console neu installieren
  1. Policy Manager Console deinstallieren
  2. Policy Manager Console erneut installieren
  Danach sollte nur noch die neueste Log4j-Version vorhanden sein.
   
• Alternative: vorsichtig von Hand aufräumen
  • Die Dateien liegen im Verzeichnis der Policy Manager Console, normalerweise:
    C:\Program Files (x86)\F-Secure\Administrator\lib\
  • In diesem Verzeichnis befinden sich ggf. mehrere Dateien nach dem Muster:
    log4j-core-2.*.jar
  • Diese Dateien können außer der mit der höchsten Versionsnummer gelöscht werden.

Systeme neu aufsetzen

Wenn Sie erfolgreiche Angriffe nicht ausschließen können, sollten Sie Ihre Systeme neu aufsetzen.

Öffentlich erreichbare Installationen wurden schon am 11.12.2021 massiv angegriffen und sollten auf jeden Fall neu aufgesetzt werden.

1. Backup der H2-Datenbank erstellen.
    
2. Snapshot der gesamten Maschine erstellen, um eine nachträgliche forensische Analyse zu ermöglichen.
    
3. Betriebssystem und Policy Manager neu installieren oder auf einen Snapshot am besten vor dem 24.11.2021, aber mindestens vor dem 10.12.2021 zurücksetzen.
    
4. Ggf. H2-Datenbank aus dem Backup wieder herstellen.
   • Eventuelle Änderungen der Einstellungen in der Datenbank können über einen Vererbungsbericht geprüft werden.
   • Auch die Liste der PMC-Benutzer kann überprüft werden.
      
5. Auch auf neu aufgesetzten Systemen oder wiederhergestellten Systemen muss der Patch eingespielt werden.

Anzeichen von erfolgreichen Angriffen

Hinweise auf erfolgreiche Angriffe (IOCs) finden sich in den Protokollen.

Welche Protokolle?

Alle Protokolle unter

C:\Program Files (x86)\F-Secure\Management Server 5\logs\

können relevant sein, aber besonders folgende:

request*.log
launcher-error.log
fspms-log4j-internal.log

Wonach suchen?

Protokolle können, aber müssen nicht auf erfolgreiche Angriffe hindeuten, wenn sie eine der folgenden Zeichenketten enthalten, ohne Unterscheidung von Klein- und Großschreibung:

${
jndi:
Error looking up JNDI resource
log4j error
.log4j.core.net.JndiManager.lookup(JndiManager
BadAttributeValueException
lower:

Anzeichen in einer request*.log, die nach dem Zeitpunkt des manuellen Patchens gefunden werden, dokumentieren nur noch erfolglose Angriffsversuche.

Hintergrund

Am 10.12.2021 wurde die als kritisch eingestufte Sicherheitslücke "Log4j-RCE" bekannt gegeben. Untersucht wird ist diese Lücke seit dem 24.11.2021.

Die Sicherheitslücke betrifft das Java-basierte Logging-Tool "Log4j", das Teil des Projektes Apache Logging Services der Apache Software Foundation ist. Dieses Tool wird von vielen Unternehmen benutzt, um bei der Entwicklung von Anwendungen zu integrieren. Auch F-Secure hat diese Java-Bibliothek in die betroffenen Produkte eingebunden.

Diese Sicherheitslücke kann von Angreifern aus der Entfernung ausgenutzt werden und eventuell ermöglichen, die komplette Kontrolle über die betroffenen Server zu übernehmen. Proof-of-concept-Code wurde veröffentlicht.

Berichte zeigen, dass diese Lücke aktiv ausgenutzt wird. Angriffe finden seit spätestens 11.12.2021 auf alle öffentlich erreichbaren Server statt.

Das BSI stuft die Bedrohungslage als extrem kritisch (rot) ein.

Referenzen

F-Secure

• F-Secure Community KB: The Log4J Vulnerability (CVE-2021-44228) – which F-Secure products are affected, what it means, what steps should you take
• F-Secure Incident Report: 0-day exploit found in the Java logging package log4j2
• F-Secure Incident Response Guidance: Log4j Vulnerability

Log4J-RCE allgemein

• Apache Software Foundation: Apache Log4j Security Vulnerabilities
• BSI: Kritische Schwachstelle in weit verbreitetem Software-Produkt Log4j
• Bleepingcomputer: New zero-day exploit for Log4j Java library is an enterprise nightmare
• LunaSec: Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package
• Mitre: CVE-2021-44228
• NIST: CVE-2021-44228 Detail

Empfehlung

perComp empfiehlt: 

• Installieren Sie umgehend den Patch, sowohl auf öffentlich erreichbaren Servern als auch auf internen. Alternativ können neue Versionen eingesetzt werden, auf denen die Sicherheitslücke nicht besteht ist.
• Öffentlich erreichbare Installationen sollten neu aufgesetzt werden oder auf einen Snapshot zurückgesetzt werden.
• Prüfen Sie diese Seite regelmäßig auf neue Informationen.

RSS-Feed

Tipp: Abonnieren Sie unseren RSS-Feed, um auf dem Laufenden zu bleiben.