Skript zur Prüfung auf Log4j Sicherheitslücke
Gerade mit Offenlegung der Sicherheitslücke von Log4j kämpfen viele IT-Administratoren. Log4j ist keine Applikation sondern eine Erweiterung, welche von vielen Herstellern im Java-Bereich genutzt wird. Die große Herausforderung dahinter ist, diese Applikationen ausfindig zu machen.
Wir haben keine Kosten und Mühen gescheut, hierfür eine Prüfung zu schreiben. Diese Prüfung sucht, identifiziert und klassifiziert diese Java-Bibliotheken auf dem System. Gefundene Bibliotheken werden in der Ausgabe aufgelistet und alarmiert.
Das Skript kann (sofern gewünscht) zusätzlich Befunde schließen, indem die Sicherheitslücke innerhalb der Bibliotheken entfernt wird. Sollte diese Komponente von der Applikation aktiv genutzt werden, kann dies zu Beeinträchtigung der Applikation führen.
Daher wird vorher die Datei als .bak Datei gesichert, sodass zur Not die ursprüngliche Version wiederhergestellt werden kann. Der Parameter „Funde beheben“ lässt sich mit „Ja“ und „Nein“ beantworten.
Der Suchbereich ist standardmäßig auf die lokale Festplatte (C:) beschränkt. Um alle Festplatten zu durchsuchen, kann am Optionsfeld „Laufwerke“ der Wert „2“ eingetragen werden.
Der dritte Parameter „Alarmierung“ lässt sich in drei Stufen einstellen:
- Kritisch (Alarm bei offenen Lücken)
- Warnung [Empfohlen] (Alarm bei offenen und „entschärften“ Lücken)
- Aus (Keinerlei Alarmierung)
Bitte beachtet beim Hinzufügen der Überprüfung die Ausführungszeit. Diese muss explizit gesetzt werden. Die allermeisten Systeme kommen mit einem Timeout von 1200 Sekunden (20 Minuten) aus. Das Limit liegt für Überprüfungen bei 3600 Sekunden.
Für längere Ausführungen kann das Skript als Aufgabe genutzt werden.
32-Bit Systeme werden vom Scan nicht unterstützt und werden sofort alarmiert. Somit kann das System gesondert berücksichtigt werden.