Datto stellt Partnern und MSP-Community Log4Shell RMM-Komponente zur Verfügung

Dezember 13, 2021

Datto stellt Partnern und MSP-Community Log4Shell RMM-Komponente zur Verfügung

By Ryan Weeks

Am Freitag, den 10. Dezember 2021, wurde bekannt, dass eine kritische Sicherheitslücke (CVE-2021-44228) in einer weitverbreiteten Komponente von Java-basierter Software, Log4j genannt, aktiv ausgenutzt wird.

Weitere Informationen über die Schwachstelle und die erste Reaktion von Datto finden Sie in unserem Blogbeitrag „Dattos Antwort auf Log4Shell“.

Wie weit dieses Softwarepaket weltweit in Technologien und Plattformen genau verbreitet ist, wird noch untersucht. Die Erfassung anfälliger Instanzen oder potenzieller Angriffe kann im großen Maßstab schwierig sein.

Um bei der Erfassung der Sicherheitslücke und der Eindämmung der Gefahr zu unterstützen, hat Datto sowohl eine Datto RMM-Komponente für seine Partner als auch ein Community-Skript für alle MSPs veröffentlicht. Damit können die MSPs die Leistungsfähigkeit und Reichweite ihrer eingesetzten RMM-Lösung unabhängig vom Hersteller nutzen, um Systeme aufzulisten, die potenziell anfällig sind und/oder die potenziell angegriffen wurden. Das Tool trägt mithilfe eines Workarounds auch zum Schutz vor Folgeangriffen bei.

RMM-Komponente für Datto-Partner

Datto hat das „Log4Shell Enumeration, Mitigation and Attack Detection Tool“ für Windows und Linux entwickelt, das die neuesten von Florian Roth veröffentlichten Erkennungsmethoden herunterlädt und ausführt.

Das Tool ist für Datto RMM-Partner kostenlos über den ComStore erhältlich.

MSPs können das Tool auf geschützten Systemen verwenden, um:

  • alle JAR-Dateien im System auf unsichere Versionen von Log4j zu scannen
  • TXT- und LOG-Dateien eines Systems nach Anzeichen für einen potenziellen Angriff zu durchsuchen
  • automatisch gegen zukünftige Angriffsversuche zu schützen, indem die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf TRUE gesetzt wird.

Erkennt die Komponente Anzeichen eines Angriffs, wird ein Bericht erstellt. Ein Datto RMM File/Folder Size Monitor kann gezielt nach diesem Bericht suchen. Er dient als Indikator für verdächtige Aktivitäten und potenzielle Sicherheitslücken.

Skripte für MSP-Community auf Github verfügbar

Windows

Datto stellt das „Log4Shell Enumeration, Mitigation and Attack Detection Tool“ für Windows auf Github zur Verfügung. Es kann in Verbindung mit jeder RMM-Lösung verwendet werden, um die gesamte MSP-Community bei der Erfassung gefährdeter Instanzen, der Erkennung potenzieller Angriffe und dem Aufbau von temporärer Immunisierung zu unterstützen.

Linux

Wir haben auch in Erwägung gezogen, an einem Skript für Linux zu arbeiten, sind aber zu dem Schluss gekommen, dass das Fenrir-Tool von Florian Roth schon alles bietet, was MSPs benötigen.

Einschränkungen

  • Wenn das Tool nicht in der Lage ist, die neuesten Erkennungen herunterzuladen, wird standardmäßig eine Version aus dem Cache verwendet. Systeme benötigen Zugriff auf https://www.github.com/, um auf den aktuellen Schutz zugreifen zu können.
  • Es gibt Ausweichtechniken, mit denen die üblichen Erkennungsmethoden umgangen werden können. Das Tool sollte deshalb als eine Ergänzung und nicht als Ersatz für eine gründliche Protokollprüfung verstanden werden.
  • Je nachdem, wie das Log4j-Paket in ein System eingebunden ist, kann die Immunisierung unwirksam sein.
  • Ein positives Ergebnis bedeutet nicht unbedingt, dass eine ausnutzbare Sicherheitslücke vorliegt. Die Ergebnisse sollten als Prioritätenliste für Ihre Analyse betrachtet werden.

Reaktion auf Vorfälle

Wenn Sie True-Positive-Hinweise auf einen Angriff gefunden haben und Sie bestätigen können, dass eine ausgehende Verbindung zu einem Command-and-Control-Server (C2) hergestellt wurde, empfehlen wir Ihnen, mit Ihrem SIEM, SOC, MDR, MSSP oder einem anderen Incident-Response-Unternehmen zusammenzuarbeiten. Diese Unternehmen können Sie beim Aufspüren und bei der Abwehr eines Angreifers optimal unterstützen.

Viel Erfolg bei der Jagd!

Jetzt gilt es, wachsam zu bleiben und aktiv bei der Erfassung und dem Patchen von Systemen gegen diese neue Bedrohung mitzuwirken. Wir hoffen, dass dieses Tool Ihnen dabei die nötige Unterstützung bietet.

Monitor für Crypto-Ransomware mit Datto RMM

Laden Sie dieses Datenblatt herunter, um mehr über Datto RMM und die Erkennung von Ransomware zu erfahren.

Read More
Relevant Articles

Subscribe to the Blog