Log4j
Schwachstelle
Reaktionszentrum

Feststellen, ob Sie betroffen sind

• Wenn Sie in Ihrem Unternehmen Apache Log4j Protokollierungsdienste verwenden, vergleichen Sie bitte Ihre Version mit dieser Apache-Quelle für Details zum Update auf die neueste Version, um die jüngsten Sicherheitslücken zu schließen.
• Unser Content-Team arbeitet aktiv an der Entwicklung von Dashboards/Suchen, die unsere Kunden nutzen können, um potenzielle Fälle von Kompromittierung in ihrer Umgebung zu identifizieren.
• Mithilfe Ihrer Sumo-Logic-Plattform können Sie hier eine allgemeine Suche durchführen, um aktuelle Versionen des Exploits zu finden, die von böswilligen Akteuren missbraucht werden könnten. Das kann Ihnen helfen, Fälle in Ihrer eigenen Umgebung zu identifizieren:
  ("jndi:" oder "{lower:j" oder "{upper:j" oder "-j}" oder ":-j%7") | parse regex "(?<jndi_string>\$\{(?:\$\{[^\}])?j\}?(?:\$\{[^\}])?n\}?(?:\$\{[^\}])?d\}?(?:\$\{[^\}])?i.*?:}?[^,;\”\\]+}?)[\\\”;,]” nodrop
• Einen tieferen technischen Einblick in die Suche nach dieser Aktivität finden Sie in unserem Log4Shell CVE-2021-44228 Situational Awareness Brief.

Wie Sumo Logic diese Sicherheitslücke schließt

Welche Schritte wurden bereits unternommen?

• Ab den frühen Morgenstunden des 10. Dezember untersuchte und validierte das Sicherheitsteam von Sumo Logic die Art und Schwere des Angriffs anhand potenzieller Angriffspunkte und stellte fest, dass Sumo Logic zu KEINEM Zeitpunkt ausgenutzt wurde.
• Wir verwenden eine benutzerdefinierte SumoLog4Layout-Bibliothek, die nie benutzerdefinierte Lookups aufruft (im Vergleich zu Apache Log4j), so dass der Sumo Logic Service nie beeinträchtigt wurde.
• Der Installed Collector von Sumo Logic ruft nichts auf, was er im Internet empfängt. Außerdem dient die Protokollierung, für die wir Log4j in unserem Collector verwenden, nur internen Prüfungszwecken, so dass dies nie ein nennenswertes Risiko darstellte. Als Vorsichtsmaßnahme haben wir am 11. Dezember einen aktualisierten Installed Collector mit Log4j v2.15.0 veröffentlicht, falls die Situation eskaliert. Nach der Entdeckung von CVE-2021-45046 haben wir unseren Collector am 16. Dezember mit Log4j v2.16.0 aktualisiert. Nach der Entdeckung von CVE-2021-45105 haben wir unseren Collector am 19. Dezember mit Log4j v2.17.0 aktualisiert. Am 29. Dezember haben wir unseren Collector mit Log4j v2.17.1 aktualisiert, um uns proaktiv gegen CVE-2021-44832 zu schützen.
• Sumo Logic steht in ständiger Kommunikation mit seinen Kunden.
• Die Teams für Systemsicherheit und das Global Operations Center von Sumo Logic beobachten die Situation weiterhin genau und achten auf Veränderungen bei der Art der Sicherheitslücke, den Methoden der Kompromittierung und den Methoden zur Umgehung der Erkennung.

Was sollten Sumo Logic-Kunden tun?

• Am 29. Dezember haben wir eine neue Version unseres Installed Collector veröffentlicht, Release 19.375-4veröffentlicht, die aktualisiert wurde, um Log4j v2.17.1 zu nutzen und die Sicherheitslücke im Zusammenhang mit CVE-2021-44832 zu schließen. Wir empfehlen allen Kunden, ihre installierten Collectors sofort auf diese neueste Version zu aktualisieren.
• Bitte halten Sie sich über unsere neuesten Versionen auf dem Laufenden, um sicherzustellen, dass mögliche unentdeckte oder nicht bekannt gegebene Probleme in früheren Log4j-Versionen nicht ausgenutzt werden können.
• Das Kundensupport-Team von Sumo Logic setzt sich direkt mit den Kunden in Verbindung, deren Versionen als anfällig bekannt sind, um sicherzustellen, dass alle Kunden so schnell wie möglich auf eine sichere Version umsteigen.
• Wenn Sie Fragen haben, kontaktieren Sie uns bitte unter support@sumologic.com