Splunk Security-Tipps für Apache Log4j (CVE-2021-44228)

Aktualisiert um 12:15 Uhr PT, 14.12.21

Apache hat vor kurzem eine kritische Schwachstelle in der Remote-Code-Ausführung bekanntgegeben, die mindestens Apache Log4j 2 (Versionen 2.0 bis 2.14.1) betrifft. Diese Schwachstelle wird von Mitre als CVE-2021-44228 mit dem höchsten Schweregrad von 10.0 eingestuft. Die Sicherheitslücke ist bei Sicherheitsforschern auch als Log4Shell bekannt. Wenn diese Schwachstelle ausgenutzt wird, können Angreifer möglicherweise die vollständige Kontrolle über das betroffene System übernehmen.

Log4j 2 ist eine weit verbreitete Open-Source-Drittanbieter-Protokollbibliothek für Java, die in Softwareanwendungen und -diensten eingesetzt wird.

Splunk prüft derzeit die Auswirkungen auf die von uns unterstützten Produkte und evaluiert Optionen für Abhilfemaßnahmen und/oder zur Schadensbegrenzung. Die folgenden Tabellen enthalten aktuelle Hinweise zu unseren Produkten. Diese Produkte werden getrennt nach On-Premise- und Cloud-Produkten erfasst

Um tagesaktuelle Informationen und Unterstützung sowie individuelle Beratung zu erhalten, können Splunk-Kunden über die Standardkanäle Support-Tickets einreichen.

Zusammenfassung der Auswirkungen für Splunk Enterprise und Splunk Cloud

Die Kernfunktionen von Splunk Enterprise verwenden Log4j Version 2 nicht und sind daher nicht betroffen. Wenn Data Fabric Search (DFS) verwendet wird, hat dies Auswirkungen, da diese Produktfunktion Log4j nutzt. Wenn diese Funktion nicht verwendet wird, gibt es keinen aktiven Angriffsvektor im Zusammenhang mit CVE-2021-44228. Eine Anleitung, mit der ihr feststellen könnt, ob ihr DFS verwendet, findet ihr im Abschnitt „Entfernen von Log4j Version 2 aus Splunk Enterprise“ weiter unten.

Alle neueren Nicht-Windows-Versionen von Splunk Enterprise enthalten Log4j Version 2 für die DFS-Funktion. Die Windows-Versionen von Splunk Enterprise enthalten Log4j-Version 2 nicht. Kunden können die Anleitung im Abschnitt „Entfernen von Log4j Version 2 aus Splunk Enterprise“ weiter unten befolgen, um diese Pakete vorsichtshalber zu entfernen. Offizielle Patches, die die Log4j-Pakete aktualisieren und die Schwachstelle in allen Nutzungsszenarien beheben, sind verfügbar und in der Tabelle unten für Version 8.1 und 8.2 verlinkt. Diese Patches sind die bevorzugte Methode zur Behebung von CVE-2021-44228 in Splunk Enterprise

Splunk Cloud ist von CVE-2021-44228 nicht betroffen. Mögliche Auswirkungen auf von Splunk unterstützte Anwendungen, die auf Splunk Enterprise oder Splunk Cloud installiert sind, findet ihr in den Tabellen unten.

Betroffene Produkte

Von diesen Produkten ist bekannt, dass sie von CVE-2021-44228 betroffen sind.

--

Produkte, die keine Schwachstelle aufweisen

Die Untersuchung hat ergeben, dass diese Produkte nicht von CVE-2021-44228 betroffen sind.

• Admin Config Service
• Analytics Workspace
• Behavior Analytics
• Dashboard Studio
• Developer Tools: AppInspect
• Enterprise Security
• Intelligence Management (TruSTAR)
• KV-Service
• Mission Control
• MLTK
• Operator für Kubernetes
• Security Analytics für AWS
• SignalFx Smart Agent
• SOAR Cloud (Phantom)
• SOAR (On-Premises)
• Splunk Application Performance Monitoring
• Splunk Augmented Reality
• Splunk Cloud Data Manager (SCDM)
• Splunk Connect für Kubernetes
• Splunk Connect für SNMP
• Splunk Connect für Syslog
• Splunk DB Connect
• Splunk Enterprise Cloud
• Splunk Infrastructure Monitoring
• Splunk Log Observer
• Splunk Mint
• Splunk Mobile
• Splunk Network Performance Monitoring
• Splunk On-Call/Victor Ops
• Splunk Open Telemetry Distributions
• Splunk Profiling
• Splunk Real User Monitoring
• Splunk Secure Gateway (Spacebridge)
• Splunk Synthetics
• Splunk TV
• Splunk Universal Forwarder (UF)
• Splunk User Behavior Analytics (UBA)

Entfernen von Log4j Version 2 aus Splunk Enterprise

Die Anleitung in diesem Abschnitt ist für den Fall gedacht, dass Splunk Enterprise nicht mit den offiziellen Patches für Version 8.1 und 8.2 aktualisiert werden kann.

Wenn die Splunk-Enterprise-Instanz DFS nicht nutzt, stellen diese Bibliotheken keinen aktiven Angriffsvektor dar. Vorsichtshalber könnt ihr die unbenutzten jar-Dateien und Verzeichnisse in den folgenden Pfaden von euren Splunk-Enterprise-Instanzen entfernen:

• $SPLUNK_HOME/bin/jars/vendors/spark
• $SPLUNK_HOME/bin/jars/vendors/libs/splunk-library-javalogging-*.jar
• $SPLUNK_HOME/bin/jars/thirdparty/hive*
• $SPLUNK_HOME/etc/apps/splunk_archiver/java-bin/jars/*

Nach dem Entfernen dieser jar-Dateien könnte ein Administrator beim Start von Splunk Fehler in Bezug auf die Dateiintegrität erkennen, die sich auf diese jar-Dateien beziehen. Solche Fehler sind erwartbar, da ihr die unbenutzten jar-Dateien als Workaround entfernt. Diese Fehlermeldungen können also ignoriert werden.

jar-Dateien, die denselben Dateinamen wie die Dateien in den oben genannten Verzeichnissen haben, aber in anderen Verzeichnissen auf euren Splunk-Instanzen gefunden werden, stammen wahrscheinlich aus dem normalen Splunk-Betrieb (z.B. der Replikation von Search Head Bundles) und werden sicher gelöscht. Wenn in der App splunk_archiver jar-Dateien zurückkommen, könnt ihr das mit der Deaktivierung der standardmäßigen Bucket-Copy-Trigger-Suche in dieser App verhindern.

* Da ein Splunk Heavyweight Forwarder (HWF) eine vollständige Kopie von Splunk Enterprise mit aktivierter Weiterleitung ist, können die oben genannten Maßnahmen auch auf HWF-Instanzen angewendet werden

Feststellen, ob DFS verwendet wird

Um festzustellen, ob die Distributed Fabric Search verwendet wird, könnt ihr die folgende Abfrage von einem Splunk Search Head aus starten:

| history 
| search search=*dfsjob* 
|  rex field=search "(?P<dfs_cmd>\|\s*dfsjob)" 
| search dfs_cmd=* and search!=*eval* 
| where len(dfs_cmd) > 0

Wenn die obige Suche Ergebnisse liefert, ist DFS aktiviert und es wurden Suchvorgänge mit dieser Funktion durchgeführt. Ihr könnt auch nach dem Parameter „disabled=false“ in der server.conf suchen, um festzustellen, ob DFS aktiviert ist.

Feststellen, ob Hadoop Data Roll verwendet wird

Obwohl die Hadoop Data Roll (Archivierungsfunktion) keinen aktiven Angriffsvektor darstellt, sollten Benutzer, die diese Funktion nicht nutzen, die Log4j-Dateien vorsichtshalber entfernen. Um festzustellen, ob diese Funktion genutzt wird, könnt ihr die folgende Abfrage von einem Splunk Search Head aus starten:

index=_internal source=*/splunk_archiver.log
| rex field=_raw "json=\"(?P<json>.*)\"" 
| chart values(json)

Wenn die obige Suche Folgendes ergibt, wird Hadoop Data Roll NICHT verwendet:

Nicht-unterstützte Versionen von Splunk Enterprise

Nur die DFS-Funktionalität von nicht unterstützten Versionen von Splunk Enterprise, die DFS enthalten (Version 8.0 und neuer), ist von CVE-2021-44228 betroffen. Die obige Anleitung zum Entfernen kann auch auf diese Versionen angewendet werden. Splunk hat einen offiziellen Patch für die unterstützten Versionen 8.1.7.1 und 8.2.3.2 bereitgestellt

Quellen & weitere hilfreiche Splunk-Ressourcen

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
• https://logging.apache.org/log4j/2.x/security.html
• Log4Shell – Erkennung von Log4j 2 RCE mit Splunk
• Supplementary Security Advisory for Splunk Apps/Add-ons
• Log4Shell - Detecting Log4j Vulnerability (CVE-2021-44228) Continued
• Englische Version dieses Blog-Artikels
  

Change Log 

• 11.12.2021: Erster Sicherheitshinweis
• 11.12.2021: Advisory um zusätzliche Produkte ergänzt, die als nicht angreifbar bestätigt wurden, darunter Admin Config Service, Behavioral Analytics, Data Manager, Enterprise Security, Intelligence Management (TruSTAR), KV Service, Mission Control, Phantom (On Premises), Security Analytics für AWS, SOAR Cloud (Phantom), Splunk Connect für Syslog, Splunk Mobile, Splunk OpenTelemetry Distributions, Splunk Operator für Kubernetes, Splunk Secure Gateway (Spacebridge) und Splunk TV
• 12.12.2021: Advisory um weitere Produkten ergänzt, die als nicht angreifbar bestätigt wurden, darunter Splunk Mint, Splunk Connect für SNMP, SignalFX Smart Agent und Splunk Forwarders (UF/HWF). Bestätigte Sicherheitslücke in den Produkten Splunk DB Connect, Splunk Connect für Kafka, Add-On: Tomcat, Add-On: Java Management Extension und Add-On: JBoss
• 12.12.2021: Hinweis für DB Connect entfernt (war nie betroffen). Offizielle Produktnamen für UF, UBA, Phantom (On-Premises), HWF hinzugefügt. Advisory um weitere Produkte ergänzt, die als nicht angreifbar bestätigt wurden, darunter Splunk Connect für Kubernetes
• 12.12.2021: Advisory um weitere Produkte ergänzt, die als nicht angreifbar bestätigt wurden, darunter Splunk SDKs. Bestätigte Sicherheitslücke im Produkt Splunk Logging Library for Java. Zeitplan für gefixte Version für ITSI aktualisiert. 8.2.3.2 in der erwarteten Version von Splunk Enterprise hinzugefügt
• 13.12.2021: Advisory aktualisiert, um die Integration von Hadoop (Hunk) als Risikovektor für Splunk Enterprise zu entfernen. Gefixte Version 4.11.1 für ITSI hinzugefügt. Bestätigte Sicherheitslücke im Produkt IT Essentials Work und gefixte Version 4.11.1 hinzugefügt
• 13.12.2021: Gefixte Version 4.10.3 für ITSI und IT Essentials Work hinzugefügt. Betroffene Versionsnummern für das Java Management Extensions Add-on korrigiert
• 13.12.2021: Gefixte Version 4.9.5 für ITSI und IT Essentials Work hinzugefügt. Link zum Patch für Splunk Enterprise 8.1.7.1 hinzugefügt
• 13.12.2021: Link zum Patch für Splunk Enterprise 8.2.3.2 und zusätzliche Informationen zur Behebung von Schwachstellen in früheren Splunk-Enterprise-Versionen durch Entfernen von Log4j jar-Dateien hinzugefügt
• 14.12.2021: Die offiziellen Namen der betroffenen Add-ons wurden berichtigt. Gefixte Version für Splunk Enterprise AWS AMI, Splunk Add-on for JBoss, Splunk Add-on for Tomcat und Splunk Add-on for Java Management Extensions hinzugefügt. Zusätzliche gefixte Versionen für ITSI und Splunk Essentials Work hinzugefügt