Diese konnten schnell gemeinsam mit dem Softwarehersteller behoben werden. Somit mussten wir wie so viele andere eine Menge von Artikeln lesen und eine Vielzahl von Tools austesten.

Auch in unserem SIEM Programm fanden sich keine Hinweise auf aktuelle mögliche Aktivitäten rund um diese Schwachstelle. Nachfolgend dürfen wir euch zwei schnelle Methoden aufzeigen, mit welchen wir gute Erfolge erzielt haben.

Für das Auffinden auf Windows Systemen haben wir zwei Methoden angewandt

Methode 1 (old school)

• for /r %f in (*.jar) do (find /i /c „JndiLookup.class“ „%f“ 1>nul && echo „%f“ >> „c:\temp\CFM-Liste-1.txt“)
• ffor /r %f in (*.war) do (find /i /c „JndiLookup.class“ „%f“ 1>nul && echo „%f“ >> „c:\temp\CFM-Liste-1.txt“)
• ffor /r %f in (*.aar) do (find /i /c „JndiLookup.class“ „%f“ 1>nul && echo „%f“ >> „c:\temp\CFM-Liste-1.txt“)
• ffor /r %f in (*.rar) do (find /i /c „JndiLookup.class“ „%f“ 1>nul && echo „%f“ >> „c:\temp\CFM-Liste-1.txt“)
• for /r %f in (*.nar) do (find /i /c „JndiLookup.class“ „%f“ 1>nul && echo „%f“ >> „c:\temp\CFM-Liste-1.txt“)

Methode 2 (ohne cmd.exe)

Download von diesem Tool und auf den Servern ausführen mit „log4j2-scan –all-drives“. Zuvor bitte noch den Download bei zumindest virustotal.com überprüfen lassen.

Wenn das Tool durchgelaufen ist, bekommt ihr hoffentlich ebenfalls nur eine kleine Hausaufgabe:

• Scanned 298200 directories and 1727323 files
• Found 1 vulnerable files
• Found 0 potentially vulnerable files
• Found 0 mitigated files
• Completed in 559.62 seconds

Bei Unterstützung steht unser Cyberforensic gerne zur Verfügung,
Euer CFM-Team