Sicherheitsforscher sind sich einig, dass Patching die ideale Lösung ist. Wenn ein Patching nicht durchführbar ist, können Unternehmen andere Maßnahmen zur Schadensbegrenzung nutzen, um die Wahrscheinlichkeit eines Angriffs zu minimieren.
Verbieten von Nachrichten-Lookups aus anfälligen Apps. Angreifer nutzen eine Funktion von Log4j namens „Nachrichten-Lookup-Ersetzungen“, um bösartige Befehle an anfällige Apps zu senden. Sicherheitsteams können diese Funktion manuell ausschalten, indem sie die Systemeigenschaft „Log4j2.formatMsgNoLookups“ auf „true“ setzen oder den Wert der Umgebungsvariablen „LOG4J_FORMAT_MSG_NO_LOOKUPS“ auf „true“ setzen.
Das Entfernen der Substitutionsfunktion für das Nachschlagen von Nachrichten erschwert Angreifern zwar den Angriff, ist aber nicht narrensicher. Böswillige Akteure können CVE-2021-45046 weiterhin verwenden, um böswillige JNDI-Lookups an Anwendungen mit nicht standardmäßigen Einstellungen zu senden.
Entfernen der JndiLookup-Klasse aus anfälligen AppsIn Log4j regelt die Klasse JNDIlookup, wie der Logger JNDI-Lookups verarbeitet. Wenn diese Klasse aus dem Klassenverzeichnis von Log4j entfernt wird, können keine JNDI-Lookups mehr durchgeführt werden.
Apache weist darauf hin, dass der folgende Befehl verwendet werden kann, um die JNDIlookup-Klasse aus anfälligen Apps zu entfernen:
zip -q -d Log4j-core-*.jar org/apache/logging/Log4j/core/lookup/JndiLookup.class
Diese Methode ist zwar effektiver als das Verbieten von Nachrichten-Lookups, hindert Angreifer jedoch nicht daran, andere Ausbeutungsversuche zu starten, z. B. Denial-of-Service-Angriffe durch rekursive Lookups auszulösen.
Blockieren potenziellen Log4Shell-Angriffsdatenverkehrs. Sicherheitsteams können Web Application Firewalls (WAFs), Intrusion Detection and Prevention Systems (IDPS), EDRs und andere Cybersicherheitstools verwenden, um den Datenverkehr zu und von Angreifern kontrollierten Servern abzufangen, indem sie häufig verwendete Protokolle wie LDAP oder RMI blockieren. Sicherheitsteams können auch IP-Adressen blockieren, die mit Angriffen in Verbindung stehen, oder die Zeichenfolgen, die Angreifer häufig in bösartigen Anfragen verwenden, wie z. B. „jndi“, „ldap“ und „rmi“.
Angreifer können diese Abwehrmaßnahmen jedoch umgehen, indem sie neue Protokolle und IP-Adressen verwenden oder bösartige Zeichenfolgen verschleiern.
Quarantäne der betroffenen Assets. Wenn alles andere fehlschlägt, können Sicherheitsteams betroffene Assets unter Quarantäne stellen, während sie auf einen Patch warten. Eine Möglichkeit, dies zu erreichen, ist die Platzierung anfälliger Assets in einem isolierten Netzwerksegment, auf das nicht direkt über das Internet zugegriffen werden kann. Für zusätzlichen Schutz kann eine WAF um dieses Netzwerksegment herum platziert werden.