Hallo
Um eine Liste der Systeme oder Programme zu erhalten, die von der Schwachstelle Log4Shell / Log4j betroffen sein könnten, habe ich dieses (sehr einfache) Client Command erstellt.
Es wird ein Benutzerdefiniertes Feld abgefüllt und die gefundenen Datein findet man in den Client Details unter "Client Commands" / "Angehängte Dateien" (aktualisieren muss angeklickt werden).
Eventuell hilft es ja jemandem oder es hat jemand eine bessere Idee ...
Freundliche Grüsse
Sven Kaiser
Log4j - Suche ev. betroffener Systeme
-
- Beiträge: 9
- Registriert: Fr Okt 14, 2016 8:44 am
- Dateianhänge
-
- Log4J_Scan__{19ED237E-E708-4579-8E33-E7E1BBAD4B0C}.sim
- (10.26 KiB) 1043-mal heruntergeladen
Hallo,
wir haben auch schon ein ähnliches Client Command erstellt, welches auch auf den Dateinamen prüft.
Wir sind auch gerade dabei eine Möglichkeit für eine genauere Prüfung (nicht nur auf Dateinamen) zu prüfen und wenn dieses Command fertig und getestet ist, wird es hierzu auch ein Mailing geben.
[Edit: Datei entfernt]
wir haben auch schon ein ähnliches Client Command erstellt, welches auch auf den Dateinamen prüft.
Wir sind auch gerade dabei eine Möglichkeit für eine genauere Prüfung (nicht nur auf Dateinamen) zu prüfen und wenn dieses Command fertig und getestet ist, wird es hierzu auch ein Mailing geben.
[Edit: Datei entfernt]
Mit freundlichen Grüßen,
Tobias Wahl
Aagon GmbH
Tobias Wahl
Aagon GmbH
Hallo,
inzwischen haben wir ein neues Command, welches auch auf den Inhalt der Java Dateien prüft.
Wenn zuvor das alte Client Command im System war, muss zunächst die Tabelle CVE-2021-44228 unter System->Einstellungen->Benutzerdefinierte Felder->Clients gelöscht werden, da diese beim Import neu angelegt werden mit einem anderen Format.
Bitte zuerst das Client Command (.sim) importieren, damit werden die benutzerdefinierten Felder angelegt.
Danach kann die Abfrage (.qex4) und der Report (.rex4) im jeweiligen Plugin importiert werden.
inzwischen haben wir ein neues Command, welches auch auf den Inhalt der Java Dateien prüft.
Wenn zuvor das alte Client Command im System war, muss zunächst die Tabelle CVE-2021-44228 unter System->Einstellungen->Benutzerdefinierte Felder->Clients gelöscht werden, da diese beim Import neu angelegt werden mit einem anderen Format.
Bitte zuerst das Client Command (.sim) importieren, damit werden die benutzerdefinierten Felder angelegt.
Danach kann die Abfrage (.qex4) und der Report (.rex4) im jeweiligen Plugin importiert werden.
- Dateianhänge
-
- Log4j Scanner_v2.zip
- (82.02 KiB) 1052-mal heruntergeladen
Mit freundlichen Grüßen,
Tobias Wahl
Aagon GmbH
Tobias Wahl
Aagon GmbH
-
- Beiträge: 3
- Registriert: Mo Dez 20, 2021 12:32 pm
Ich habe das CC importiert, es läuft auch alles durch. Jedoch habe ich auf allen Clients das Ergebnis: Kein Befund. Unser Forticlient AV jedoch findet mir "positive" Maschinen.
Mache ich etwas falsch oder gibt es evtl. ein neueres Script?
Mache ich etwas falsch oder gibt es evtl. ein neueres Script?
Christian Streck
Lebenshilfe Bruchsal-Bretten e.V.
Lebenshilfe Bruchsal-Bretten e.V.
Hallo,
ein neueres Script gibt es aktuell nicht. Wenn die Ausführung des Client Commands erfolgreich war und im Log keine Fehler ersichtlich sind, sollte es von der Ausführung eigentlich passen.
Gibt es vielleicht ein Beispiel was vom Forticlient erkannt wird und von dem Client Command nicht?
ein neueres Script gibt es aktuell nicht. Wenn die Ausführung des Client Commands erfolgreich war und im Log keine Fehler ersichtlich sind, sollte es von der Ausführung eigentlich passen.
Gibt es vielleicht ein Beispiel was vom Forticlient erkannt wird und von dem Client Command nicht?
Mit freundlichen Grüßen,
Tobias Wahl
Aagon GmbH
Tobias Wahl
Aagon GmbH
-
- Beiträge: 3
- Registriert: Mo Dez 20, 2021 12:32 pm
Hallo Herr Wahl,
zunächst einmal Danke fürs Antworten. Mein Ziel ist es, alle Rechner mit der Vulnerability zu patchen. Leider kann dies der Forticlient nicht automatisch. Wo genau sich die gefundenen log4... Dateien auf dem Client befinden sehe ich zentral ebenfalls nicht. Was ich sehe, ist dass aktuell einige PCs diese Schwachstelle haben.
Beispielcomputer: Desktop3
Wenn ich im Forticlient schaue, wird dieser Rechner mit der Vulnerability geflagged.
Wenn aufs Dateisystem schaue, dann finde ich die log4... Dateien.
Wenn ich eine Suche per Script / ACMP mache, dann läuft er ohne Fehler durch und gibt "Kein Fund" aus.
Anbei 3 Screenshots...
Vielen Dank,
Christian Streck
zunächst einmal Danke fürs Antworten. Mein Ziel ist es, alle Rechner mit der Vulnerability zu patchen. Leider kann dies der Forticlient nicht automatisch. Wo genau sich die gefundenen log4... Dateien auf dem Client befinden sehe ich zentral ebenfalls nicht. Was ich sehe, ist dass aktuell einige PCs diese Schwachstelle haben.
Beispielcomputer: Desktop3
Wenn ich im Forticlient schaue, wird dieser Rechner mit der Vulnerability geflagged.
Wenn aufs Dateisystem schaue, dann finde ich die log4... Dateien.
Wenn ich eine Suche per Script / ACMP mache, dann läuft er ohne Fehler durch und gibt "Kein Fund" aus.
Anbei 3 Screenshots...
Vielen Dank,
Christian Streck
- Dateianhänge
-
- ACMP Kein Fund.png (71.55 KiB) 12157 mal betrachtet
-
- Log4Net Dateien.png (101.66 KiB) 12157 mal betrachtet
-
- Forticlient.png (31.61 KiB) 12157 mal betrachtet
Christian Streck
Lebenshilfe Bruchsal-Bretten e.V.
Lebenshilfe Bruchsal-Bretten e.V.
Hallo,
der FortiClient scheint hier log4net zu finden, das heisst zwar so ähnlich wie log4j und stellt sicher auch ähnliche Funktionen bereit, ist aber eine komplett andere Bibliothek.
Das Client Command sucht nur log4j Instanzen, nicht log4net.
Das Client Command könnte man auf den abweichenden Namen anpassen. In der WMI Abfrage sollte nach Dateien gesucht werden und hier kann man dann den log4j Dateinamen durch log4net.ni mit Dateiendung .dll ändern, eventuell ist die Dateiendung auch .ni.dll, da bin ich mir bei der Syntax nicht sicher, müsste man testen.
Unter der Annahme natürlich, log4net liefert immer diese Datei log4net.ni.dll mit.
der FortiClient scheint hier log4net zu finden, das heisst zwar so ähnlich wie log4j und stellt sicher auch ähnliche Funktionen bereit, ist aber eine komplett andere Bibliothek.
Das Client Command sucht nur log4j Instanzen, nicht log4net.
Das Client Command könnte man auf den abweichenden Namen anpassen. In der WMI Abfrage sollte nach Dateien gesucht werden und hier kann man dann den log4j Dateinamen durch log4net.ni mit Dateiendung .dll ändern, eventuell ist die Dateiendung auch .ni.dll, da bin ich mir bei der Syntax nicht sicher, müsste man testen.
Unter der Annahme natürlich, log4net liefert immer diese Datei log4net.ni.dll mit.
Mit freundlichen Grüßen,
Tobias Wahl
Aagon GmbH
Tobias Wahl
Aagon GmbH