In diesem Artikel beschreiben wir, wie Sie mit LOGINventory Geräte in Ihrem Netzwerk finden, die von der kritischen Sicherheitslücke log4j im Java-Logging betroffen sind. Da LOGINventory selbst keine Java-Komponenten verwendet, ist LOGINventory selbst nicht von der Sicherheitslücke betroffen.
Die kritische Schwachstelle Log4j / Log4Shell (CVE-2021-44228) bedroht aktuell eine Vielzahl von Systemen und wurde vom BSI mit der höchsten Gefahrenstufe Rot bewertet. Die Lücke kann auch ohne Nachladen von Schadcode direkt ausgenutzt werden. Daher sollten betroffene Geräte schleunigst auf eine sichere Version geupdatet werden.
Programme, die von der Lücke betroffen sind, verwenden die Komponenten, die “Log4j*.jar” im Dateinamen tragen oder haben Log4j in eine andere Bibliothek gelinkt, bzw. Log4j befindet sich in einem anderen Archiv.
Kein LOGINventory-Kunde? Nutzen Sie LOGINventory trotzdem einen Monat kostenlos!
Wir möchten Sie bei der IT-Sicherheit unterstützen. Holen Sie sich kostenlos und völlig unverbindlich für 30 Tage eine LOGINventory-Testlizenz und finden Sie von Log4j betroffene Geräte!
Log4j-Dateien mit LOGINventory finden
Bei der Erfassung Ihrer Windows-Geräte können Sie die File-Suche verwenden, um auf den Geräten nach Dateien zu suchen. Falls Sie den Remote-Scanner für das agentenlose Scannen Ihres Netzwerks nutzen, können Sie im Remote-Scanner selbst im Reiter “File-Suche” eine entsprechende Suchbedingung auf log4j*.jar hinzufügen – vergessen Sie nicht den Haken bei “rekursiv” zu setzen:
Falls Sie zur Erfassung nicht den agentenlosen Scan, sondern die LOGINfo.exe oder den Offline-Agenten verwenden, muss die Anpassung der File-Suche in der LOGINfo.script-Datei geschehen. Fügen Sie dazu folgende Zeilen Code in die Datei hinzu (diese befindet sich im Datenverzeichnis des LOGINventory-Rechners (standardmäßig: C:\Users\Public\Documents\LOGIN\LOGINventory 9\Data)):
!FindFilesRec "log4j*.jar"
Beim Ausführen der LOGINfo.exe werden automatisch die Anpassungen hier beachtet, Sie müssen also nichts weiter tun.
Wird hingegen der Offline-Agent verwendet, muss den Agenten die aktualisierte Version der LOGINfo.script-Datei zur Verfügung gestellt werden – damit diese Geräte beim nächsten Scan sich selbst durchsuchen. Verwenden Sie dazu im Offline-Agent-Wizard den Button “Loginfo_script.zip für Selbstupdate erstellen“, siehe Handbuch. Das Update des Agenten kann dann bis zu 24h dauern, danach sollten Sie auch von den Geräten mit Offline-Agent die Informationen zu den gefunden Dateien erhalten.
Log4j-Informationen in LOGINventory auswerten
Nachdem die Anpassungen vorgenommen wurden und die Erfassung erneut ausgeführt wurde, können Sie die gefundenen Daten in der Abfrage “Konfiguration -> Abfrage-Listen -> Files” finden. Dort sehen Sie dann auf welchem Gerät, welche Dateien mit dem entsprechenden Namensmuster gefunden wurden.
Mit LOGINventory können Sie auf Windows-Geräten nach Dateien suchen, die log4j im Namen tragen und damit einen Teil der betroffenen Geräte finden. Log4j kann allerdings auch direkt in eine andere Bibliothek gelinkt sein, bzw. sich in einem anderen Archiv befinden – mit der File-Suche können diese Geräte somit nicht gefunden werden. Im Zweifelsfall müssen Sie also mit den Herstellern der Software in Kontakt treten.
Sie suchen einen Gesamtüberblick über alle Funktionen von LOGINventory?
In diesem Einführungsvideo zeigen wir, was alles mit LOGINventory möglich ist.