über perComp Kontakte Suche 

Web Club

Willkommen auf den F-Secure Web Club Seiten. Diese Seiten sind offen für alle Nutzer von F-Secure-Produkten mit einer aktuellen Lizenz.
Sie finden hier letzte Informationen und bei Bedarf Aktualisierungen.

Weitere Seiten des Web Club wie "Downloads und Hotfixes" erreichen Sie über das Menü.

Für den Elements Endpoint Protektion bzw. Protection Service für Business (PSB) gibt es den gesonderten Elements Web Club, für die PC Protection den PCP Web Club.

Termine

04. - 07.04. F-Secure Training
online

Aktuelle Versionsnummern

Policy Manager 15.30
Client Security 15.30
Client Security Mac 15.03
Linux Security 64 12.00
Server Security 15.30
E-Mail und Server Security 15.10
Atlant 1.0

Remote-Support

Wir helfen wir unseren Kunden telefonisch, per E-Mail und über Remote-Support (z.B. über TeamViewer).

Kunden mit Gold-Support erhalten Remote-Support in der Regel kostenfrei.

Sprechen Sie uns an.

Richtlinien-Audit

Wir überprüfen den Zustand Ihrer F-Secure-Installation.
Sprechen Sie uns an.

Kryptotrojaner-Audit

Wir überprüfen den Zustand Ihres Kryptotrojaner-Schutzes.
Sprechen Sie uns an.

Über 30 Jahre IT-Erfahrung

Sicherheitsprodukte, Akademie und Gold-Support:

Das kann nur perComp.

Kritisches Sicherheits-Update für alle Policy Manager-Versionen

Referenzen: Log4j-RCE log4shell CVE-2021-44228 CVE-2021-45046 CVE-2021-45105 CVE-2021-44832

Diese Seite wurde zuletzt am 20.01.2022 um 14:54 Uhr geändert.

Zu CVE-2021-44228 hat F-Secure am 10.12.2021 ein kritischen Patch herausgebracht.

Auf den betroffenen Geräten können eventuell entfernte Angreifer Code ohne Autorisierung ausführen.

Angriffe finden seit spätestens 11.12.2021 massiv statt.

CVE-2021-45046 betrifft ausschließlich das Messaging Security Gateway und wurde über ein automatisches Update behoben.

CVE-2021-45105 ermöglicht keine Code-Ausführung.

CVE-2021-44832 setzt voraus, dass ein Angreifer lokalen Datei-Zugriff hat. Ohne besondere Anpassung Log4j-Konfiguration sind die F-Secure-Produkte nicht aus der Entfernung angreifbar.

Betroffene Produkte und Versionen

Folgende Produkte und Versionen sind betroffen, sowohl unter Windows als auch unter Linux:

  • Policy Manager Server 13 und älter
  • Policy Manager Server 14
  • Policy Manager Server 15 bis einschließlich 15.21
  • Policy Manager Proxy 13 und älter
  • Policy Manager Proxy 14
  • Policy Manager Proxy 15 bis einschließlich 15.21
  • Endpoint Proxy
  • Elements Connector vor 21.49
  • Messaging Security Gateway

Bei folgenden Produkte wurde die Lücke CVE-2021-44228 durch ein automatisches Update behoben:

  • Elements Connector
  • Messaging Security Gateway

Folgende Versionen sind von CVE-2021-44228 nicht betroffen:

  • Policy Manager 15.30 (Freigabe 22.12.2021)
  • Policy Manager Proxy 15.30 (Freigabe 22.12.2021)
  • Elements Connector 21.49

Andere F-Secure-Produkte sind nicht betroffen.

    Gegenmaßnahmen

    Bei Einsatz der betroffenen Produkte ist ein manuelles Eingreifen notwendig.

    Ein von F-Secure bereitgestellter Patch, in dem die Sicherheitslücke behoben ist, muss installiert werden.

    Der Patch unterstützt die oben genannten Versionen von Policy Manager Server, Policy Manager Proxy, Endpoint Proxy und Elements Connector ab 13.10. Niedrigere Versionen müssen erst upgegraded werden, bevor sie gepatcht werden können. Versionen älter als 14 werden seit Juni 2021 nicht mehr offiziell unterstützt.

    Der Elements Connector wurde automatisch online auf die Version 21.49.96235 aktualisiert. Diese Version ist nicht durch CVE-2021-44228 verwundbar.

    Das Messaging Security Gateway wurde automatisch online gepatcht.

    In den folgenden F-Secure-Produkten ist ebenfalls eine verwundbare log4j-Version vorhanden. Hier bestehen aber keine Möglichkeiten, die Lücke auszunutzen. Daher werden diese Produkte nicht gepatcht:

    • nicht gefährdet: Policy Manager Console
    • nicht gefährdet: fspm-definitions-update-tool

    Patch "Log4j-nolookups" vom 10.12.2021

    Dieser Patch behebt CVE-2021-44228 mit Hilfe der Voreinstellung "log4j2.formatMsgNoLookups=true" bei Policy Manager Server kleiner 15.30 und Policy Manager Proxy kleiner 15.30.

    1. Herunterladen des Patches: https://download.f-secure.com/corpro/pm/commons-java-log4j-nolookups.jar
       
    2. Bei Bedarf Überprüfen der Integrität des Paketes über den SHA256-Hash: 64f7e4e1c6617447a24b0fe44ec7b4776883960cc42cc86be68c613d23ccd5e0
       
    3. Anhalten des Windows-Dienstes "F-Secure Policy Manager Server" oder "F-Secure Policy Manager Proxy" bzw. unter Linux: /etc/init.d/fspms stop
       
    4. Kopieren der heruntergeladenen Datei nach:
      • Policy Manager Server Windows, Policy Manager Proxy Windows, Endpoint Proxy Windows:
        C:\Program Files (x86)\F-Secure\Management Server 5\lib\
      • Endpoint Proxy Windows:
        C:\Program Files\F-Secure\ElementsConnector\lib
      • Linux (alle genannten Producte):
        /opt/f-secure/fspms/lib
      Auf ungepatchten Servern ist diese Datei nicht vorhanden.
    5. Starten des Windows-Dienstes bzw. unter Linux: /etc/init.d/fspms start

    Patch "Log4j-2.17.1" vom 19.01.2022 für Policy Manager Server und Policy Manager Proxy

    Dieser Patch behebt CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 und CVE-2021-44832 über die die Log4j-Version 17.1 bei allen Versionen des Policy Managers.

    Normalerweise ist der Patch "Log4j-nolookups" vom 10.12.2021 oder eine aktualisierte Version wie der Policy Manager 15.30 ausreichend. Nur in speziell angepassten Installationen oder für manche Vulnerability-Scanner wird dieser Patch benötigt.

    Bei Installation diese Patches wird der ältere "Log4j-nolookups" vom 10.12.2021 nicht benötigt.

    1. Herunterladen des Patches: https://download.f-secure.com/corpro/pm/log4j-2.17.1.zip
       
    2. Bei Bedarf Überprüfen der Integrität des Archivs über den SHA256-Hash: 4041d49d796ea0771584774e6cbc65307c1994b1c938cb2e7837bda6a3b5cec8
       
    3. Anhalten des Windows-Dienstes "F-Secure Policy Manager Server" oder "F-Secure Policy Manager Proxy" bzw. unter Linux: /etc/init.d/fspms stop
       
    4. Auspacken folgender JAR-Dateien aus dem Archiv.
      • Alle Versionen von Policy Manager Server und Policy Manager Proxy:
          log4j-api-2.17.1.jar
          log4j-core-2.17.1.jar
          log4j-slf4j-impl-2.17.1.jar
      • Policy Manager Server ab Version 14.30 und Policy Manager Proxy ab Version 14.30 zusätzlich:
          log4j-1.2-api-2.17.1.jar
          log4j-web-2.17.1.jar
      In folgende Verzeichnisse:
      • Policy Manager Server Windows, Policy Manager Proxy Windows, Endpoint Proxy Windows:
        C:\Program Files (x86)\F-Secure\Management Server 5\lib\
      • Endpoint Proxy Windows:
        C:\Program Files\F-Secure\ElementsConnector\lib
      • Linux (alle genannten Producte):
        /opt/f-secure/fspms/lib
      Auf ungepatchten Servern sind diese Dateien nicht vorhanden.
       
    5. Die alten Versionen zu den kopierten Dateien können gelöscht werden. Sie werden nicht mehr benutzt
       
    6. Starten des Windows-Dienstes bzw. unter Linux: /etc/init.d/fspms start

    Upgraden

    Aktualisieren der betroffenen Produkte auf die oben genannten, nicht betroffenen Versionen.

    Policy Manager 15.30 und Policy Manager Procy 15.30 enthalten die Log4j-Version 2.17.0. Wer auf die Version 2.17.1 angewieden ist, muss zusätzlich den Patch "Log4j-2.17.1" vom 19.01.2022 installieren.

    Entfernen alter Dateien

    Nach dem Upgrade liegen in dem Verzeichnis der Policy Manager Console alte Versionen der Log4j-Bibliotheken. Diese Dateien werden nicht benutzt und können normalerweise einfach so gelassen werden.

    Falls Sie aber solche Dateien entfernen möchten, um beispielsweise Warnhinweise von unspezifischen Sicherheitstools zu vermeiden, können Sie die Policy Manager Console entweder neu installieren oder alternativ die betroffenen Dateien von Hand aufräumen.

    • Einfach und gründlich: Policy Manager Console neu installieren
      1. Policy Manager Console deinstallieren
      2. Policy Manager Console erneut installieren
      Danach sollte nur noch die neueste Log4j-Version vorhanden sein.
       
    • Alternative: vorsichtig von Hand aufräumen
      • Die Dateien liegen im Verzeichnis der Policy Manager Console, normalerweise:
        C:\Program Files (x86)\F-Secure\Administrator\lib\
      • In diesem Verzeichnis befinden sich ggf. mehrere Dateien nach dem Muster:
        log4j-core-2.*.jar
      • Diese Dateien können außer der mit der höchsten Versionsnummer gelöscht werden.

    Systeme neu aufsetzen

    Wenn Sie erfolgreiche Angriffe nicht ausschließen können, sollten Sie Ihre Systeme neu aufsetzen.

    Öffentlich erreichbare Installationen wurden schon am 11.12.2021 massiv angegriffen und sollten auf jeden Fall neu aufgesetzt werden.

    1. Backup der H2-Datenbank erstellen.
       
    2. Snapshot der gesamten Maschine erstellen, um eine nachträgliche forensische Analyse zu ermöglichen.
       
    3. Betriebssystem und Policy Manager neu installieren oder auf einen Snapshot am besten vor dem 24.11.2021, aber mindestens vor dem 10.12.2021 zurücksetzen.
       
    4. Ggf. H2-Datenbank aus dem Backup wieder herstellen.
      • Eventuelle Änderungen der Einstellungen in der Datenbank können über einen Vererbungsbericht geprüft werden.
      • Auch die Liste der PMC-Benutzer kann überprüft werden.
         
    5. Auch auf neu aufgesetzten Systemen oder wiederhergestellten Systemen muss der Patch eingespielt werden.

    Anzeichen von erfolgreichen Angriffen

    Hinweise auf erfolgreiche Angriffe (IOCs) finden sich in den Protokollen.

    Welche Protokolle?

    Alle Protokolle unter

    C:\Program Files (x86)\F-Secure\Management Server 5\logs\

    können relevant sein, aber besonders folgende:

    request*.log
    launcher-error.log
    fspms-log4j-internal.log

    Wonach suchen?

    Protokolle können, aber müssen nicht auf erfolgreiche Angriffe hindeuten, wenn sie eine der folgenden Zeichenketten enthalten, ohne Unterscheidung von Klein- und Großschreibung:

    ${
    jndi:
    Error looking up JNDI resource
    log4j error
    .log4j.core.net.JndiManager.lookup(JndiManager
    BadAttributeValueException
    lower:

    Anzeichen in einer request*.log, die nach dem Zeitpunkt des manuellen Patchens gefunden werden, dokumentieren nur noch erfolglose Angriffsversuche.

    Hintergrund

    Am 10.12.2021 wurde die als kritisch eingestufte Sicherheitslücke "Log4j-RCE" bekannt gegeben. Untersucht wird ist diese Lücke seit dem 24.11.2021.

    Die Sicherheitslücke betrifft das Java-basierte Logging-Tool "Log4j", das Teil des Projektes Apache Logging Services der Apache Software Foundation ist. Dieses Tool wird von vielen Unternehmen benutzt, um bei der Entwicklung von Anwendungen zu integrieren. Auch F-Secure hat diese Java-Bibliothek in die betroffenen Produkte eingebunden.

    Diese Sicherheitslücke kann von Angreifern aus der Entfernung ausgenutzt werden und eventuell ermöglichen, die komplette Kontrolle über die betroffenen Server zu übernehmen. Proof-of-concept-Code wurde veröffentlicht.

    Berichte zeigen, dass diese Lücke aktiv ausgenutzt wird. Angriffe finden seit spätestens 11.12.2021 auf alle öffentlich erreichbaren Server statt.

    Das BSI stuft die Bedrohungslage als extrem kritisch (rot) ein.

    Referenzen

    F-Secure

    Log4J-RCE allgemein

    Empfehlung

      perComp empfiehlt: 

      • Installieren Sie umgehend den Patch, sowohl auf öffentlich erreichbaren Servern als auch auf internen. Alternativ können neue Versionen eingesetzt werden, auf denen die Sicherheitslücke nicht besteht ist.
      • Öffentlich erreichbare Installationen sollten neu aufgesetzt werden oder auf einen Snapshot zurückgesetzt werden.
      • Prüfen Sie diese Seite regelmäßig auf neue Informationen.

       

      RSS-Feed

      Tipp: Abonnieren Sie unseren RSS-Feed, um auf dem Laufenden zu bleiben.

      Impressum Datenschutz