Ankündigung

Einklappen
1 von 2 < >

Das niwis Forum wird abgeschaltet

Hallo zusammen!

Nach mehr als 20 Jahren stellen wir die Pflege für das niwis Forum ein und hoffen, dass ihr hier die ein oder andere wertvolle Information erhalten habt! Außerdem danke ich allen Benutzern, die hier in den letzten Jahren Beiträge veröffentlicht haben, sei es als Frage oder als Antwort !

Die Registrierung neuer Benutzer und jegliche Interaktion mit dem Forum sind ab heute nicht mehr möglich, aber wir lassen die Beiträge hier noch bis Ende Juni 2022 stehen. Ab voraussichtlich Juli 2022 werden wir das komplette Forum vom Netz nehmen.

Mit besten Grüßen
Ulf Spangenberg, niwis consulting gmbh, alias "uspange"
2 von 2 < >

Das niwis Forum wird abgeschaltet

Hallo zusammen!

Nach mehr als 20 Jahren stellen wir die Pflege für das niwis Forum ein und hoffen, dass ihr hier die ein oder andere wertvolle Information erhalten habt! Außerdem danke ich allen Benutzern, die hier in den letzten Jahren Beiträge veröffentlicht haben, sei es als Frage oder als Antwort !

Die Registrierung neuer Benutzer und jegliche Interaktion mit dem Forum sind ab heute nicht mehr möglich, aber wir lassen die Beiträge hier noch bis Ende Juni 2022 stehen. Ab voraussichtlich Juli 2022 werden wir das komplette Forum vom Netz nehmen.

Mit besten Grüßen
Ulf Spangenberg, niwis consulting gmbh, alias "uspange"
Mehr anzeigen
Weniger anzeigen

Schwachstelle in SEP-Manager und vielen weiteren Lösungen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Schwachstelle in SEP-Manager und vielen weiteren Lösungen

    +++ Update 16.12.2021 +++

    Broadcom hat eine neue Version des SEP-Managers bereitgestellt (14.3.5427.3000), welche die neue log4j Version 2.16 enthält.

    + KB Artikel
    230359 dazu ...

    + niwis Download ...

    + Diskussion im Symantec Connect Forum über verlorenes 64bit Installationspaket ...

    + REST API connections no longer authenticate ...


    Von CVE-2021-45105 und CVE-2021-44832 ist der SEP-Manager nicht betroffen (s. KB Artikel 230359)


    Broadcom hat am 11. Dezember Informationen zu einer Lücke im Symantec Endpoint Protection Manager veröffentlicht (SYMSA19793), da dieser eine verwundbare Version der Apache Java-Bibliothek Log4j verwendet (CVE-2021-44228).

    Broadcom hat zwar schon Signaturen für die Erkennung eines Angriffs veröffentlicht, allerdings wird auch dazu geraten, die Lücke selbst über das Setzen einer Umgebungsvaribale auf dem SEP-Manager zu schließen und danach die SEP-Manager Dienste neu zu starten.

    Code:
    LOG4J_FORMAT_MSG_NO_LOOKUPS=true
    Das Setzen dieser Variable bietet keinen Schutz mehr vor einem erfolgreichen Angriff. Es wird empfohlen den SEP-Manager zu aktualisieren.

    ++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++++++++++++++++++++

    Von dieser Schwachstelle sind eine Vielzahl weiterer Anwendungen betroffen. Es ist deshalb auch ratsam auf anderen Systemen nach der log4j*.jar zu suchen (ab 2.15 ist die Verwundbarkeit behoben). Diese Systeme verwenden evtl auch die verwundbare Bibliothek und sind dadurch angreifbar (z. B. der Live Update Administrator). Besser ist jedoch der Einsatz eines Schwachstellenscanners.

    Die Schwachstelle wird bereits aktiv ausgenutzt, bei mir werden seit dem frühen Morgen des 12. Dezember die ersten Einträge im SEP IPS Log protokolliert. Bitte spätestens jetzt die Server OS auch mit SEP IPS schützen.

    BSI erhöht Bedrohungslage auf rot ...

    Angehängte Dateien
    Zuletzt geändert von uspange; 05.01.2022, 08:05.

    #2
    Threat Alert: Apache Log4j RCE (CSV-2021-44228) aka Log4Shell

    13. Dezember 2021, 10:20 Uhr:
    A critical remote code execution (RCE) vulnerability in Apache Log4j has recently been disclosed and multiple proof of concepts are now available to the public. Log4j is a Java logging library and is widely-used by a large number of applications and services. Version 2.0 and 2.14.1 of Apache Log4j are impacted and a fix has been shipped in version 2.15.0. This vulnerability has been dubbed "Log4Shell" by the security community.

    As expected, actors have already started to leverage this vulnerability such as those behind cryptominer botnets, and Muhskit is one of these. This malware has been around for a few years now and is known to be used in various cryptocurrency mining and DDoS campaigns.

    Symantec protects you from these threats, identified by the following:


    File-based
    • CL.Suspexec!gen106
    • CL.Suspexec!gen107
    • CL.Suspexec!gen108
    • Linux.Kaiten
    • Trojan Horse
    • Trojan.Maljava

    Machine Learning-based
    • Heur.AdvML.C

    Network-based
    • Attack: Log4j2 RCE CVE-2021-44228
    • Attack: Log4j2 RCE CVE-2021-44228 2
    • Attack: Malicious LDAP Response
    • Audit: Log4j2 RCE CVE-2021-44228
    • Audit: Malicious LDAP Response
    • Audit: Suspicious Java Class File Executing Arbitrary Commands

    Policy-based

    DCS provides a range of protection for Server workloads against this vulnerability:
    • Prevention policies prevent malware from being dropped or executed on the system
    • Ability to block or limit LDAP, http and other traffic from server workloads and containerized applications using log4j2 to internal trusted servers
    • Prevention policies sandboxing provides protection for RCE by preventing execution of dual use tools, credential theft, and protecting critical system files and resources.

    Kommentar

    Lädt...
    X