Log4j
Schwachstellen-
Reaktionszentrum

So stellen Sie fest, ob Sie betroffen sind

• Wenn Sie in Ihrem Unternehmen Apache Log4j Protokollierungsdienste verwenden, vergleichen Sie bitte Ihre Version mit dieser Apache-Quelle für Details zum Update auf die neueste Version, um die jüngsten Sicherheitslücken zu schließen.
• Unser Content-Team arbeitet aktiv an der Entwicklung von Dashboards/Suchen, die unsere Kunden nutzen können, um potenzielle Fälle von Kompromittierung in ihrer Umgebung zu identifizieren.
• Mithilfe Ihrer Sumo-Logic-Plattform können Sie hier eine allgemeine Suche durchführen, um aktuelle Versionen des Exploits zu finden, die von böswilligen Akteuren missbraucht werden könnten. Das kann Ihnen helfen, Fälle in Ihrer eigenen Umgebung zu identifizieren:
  ("jndi:" or "{lower:j" or "{upper:j" or "-j}" or ":-j%7") | parse regex "(?<jndi_string>\$\{(?:\$\{[^\}])?j\}?(?:\$\{[^\}])?n\}?(?:\$\{[^\}])?d\}?(?:\$\{[^\}])?i.*?:}?[^,;\"\\]+}?)[\\\";,]" nodrop
• Einen tieferen technischen Einblick in die Suche nach dieser Aktivität finden Sie in unserem Log4Shell CVE-2021-44228 Situational Awareness Brief.

Wie Sumo Logic diese Sicherheitslücke schließt

Welche Schritte wurden bereits unternommen?

• Ab den frühen Morgenstunden des 10. Dezember untersuchte und validierte das Sicherheitsteam von Sumo Logic die Art und Schwere des Angriffs anhand potenzieller Angriffspunkte und stellte fest, dass Sumo Logic zu KEINEM Zeitpunkt korrumpiert wurde.
• Wir verwenden eine benutzerdefinierte SumoLog4Layout-Bibliothek, die nie benutzerdefinierte Lookups aufruft (im Vergleich zu Apache Log4j), so dass der Sumo Logic Service nie beeinträchtigt wurde.
• Der Installed Collector von Sumo Logic ist so konzipiert, dass er keinerlei Daten ausführt oder aufruft, die er über das Internet empfängt. Darüber hinaus wird Log4j in unserem Collector ausschließlich für interne Audit-Zwecke verwendet – daher bestand hier nie ein signifikantes Risiko. Als Vorsichtsmaßnahme haben wir bereits am 11. Dezember einen aktualisierten Collector mit Log4j v2.15.0 veröffentlicht, falls sich die Situation verschärft hätte. Nach der Entdeckung von CVE-2021-45046 haben wir unseren Collector am 16. Dezember auf Log4j v2.16.0 aktualisiert. Mit Bekanntwerden von CVE-2021-45105 folgte am 19. Dezember das Update auf v2.17.0. Am 29. Dezember haben wir unseren Collector proaktiv auf Log4j v2.17.1 aktualisiert, um auch gegen CVE-2021-44832 geschützt zu sein.
• Sumo Logic steht in ständiger Kommunikation mit seinen Kunden.
• Die Teams für Systemsicherheit und das Global Operations Center von Sumo Logic beobachten die Situation weiterhin genau und achten auf Veränderungen bei der Art der Sicherheitslücke, den Methoden der Kompromittierung und den Methoden zur Umgehung der Erkennung.

Was sollten Sumo Logic-Kunden tun?

• Am 29. Dezember haben wir eine neue Version unseres Installed Collector veröffentlicht, Release 19.375-4, die aktualisiert wurde, um Log4j v2.17.1 zu nutzen und die Sicherheitslücke im Zusammenhang mit CVE-2021-44832 zu schließen. Wir empfehlen allen Kunden, ihre Installed Collectors sofort auf diese neueste Version zu aktualisieren.
• Bitte halten Sie sich über unsere neuesten Versionen auf dem Laufenden, um sicherzustellen, dass mögliche unentdeckte oder nicht bekannt gegebene Probleme in früheren Log4j-Versionen nicht ausgenutzt werden können.
• Das Kundensupport-Team von Sumo Logic setzt sich direkt mit den Kunden in Verbindung, deren Versionen als anfällig bekannt sind, um sicherzustellen, dass alle Kunden so schnell wie möglich auf eine sichere Version umsteigen.
• Wenn Sie Fragen haben, kontaktieren Sie uns bitte unter support@sumologic.com