Aagon Support

Hallo

Um eine Liste der Systeme oder Programme zu erhalten, die von der Schwachstelle Log4Shell / Log4j betroffen sein könnten, habe ich dieses (sehr einfache) Client Command erstellt.
Es wird ein Benutzerdefiniertes Feld abgefüllt und die gefundenen Datein findet man in den Client Details unter "Client Commands" / "Angehängte Dateien" (aktualisieren muss angeklickt werden).

Eventuell hilft es ja jemandem oder es hat jemand eine bessere Idee ...

Freundliche Grüsse

Sven Kaiser

Hallo,

wir haben auch schon ein ähnliches Client Command erstellt, welches auch auf den Dateinamen prüft.
Wir sind auch gerade dabei eine Möglichkeit für eine genauere Prüfung (nicht nur auf Dateinamen) zu prüfen und wenn dieses Command fertig und getestet ist, wird es hierzu auch ein Mailing geben.

[Edit: Datei entfernt]

Hallo,

inzwischen haben wir ein neues Command, welches auch auf den Inhalt der Java Dateien prüft.
Wenn zuvor das alte Client Command im System war, muss zunächst die Tabelle CVE-2021-44228 unter System->Einstellungen->Benutzerdefinierte Felder->Clients gelöscht werden, da diese beim Import neu angelegt werden mit einem anderen Format.

Bitte zuerst das Client Command (.sim) importieren, damit werden die benutzerdefinierten Felder angelegt.
Danach kann die Abfrage (.qex4) und der Report (.rex4) im jeweiligen Plugin importiert werden.

Ich habe das CC importiert, es läuft auch alles durch. Jedoch habe ich auf allen Clients das Ergebnis: Kein Befund. Unser Forticlient AV jedoch findet mir "positive" Maschinen.
Mache ich etwas falsch oder gibt es evtl. ein neueres Script?

Hallo,

ein neueres Script gibt es aktuell nicht. Wenn die Ausführung des Client Commands erfolgreich war und im Log keine Fehler ersichtlich sind, sollte es von der Ausführung eigentlich passen.
Gibt es vielleicht ein Beispiel was vom Forticlient erkannt wird und von dem Client Command nicht?

Hallo Herr Wahl,

zunächst einmal Danke fürs Antworten. Mein Ziel ist es, alle Rechner mit der Vulnerability zu patchen. Leider kann dies der Forticlient nicht automatisch. Wo genau sich die gefundenen log4... Dateien auf dem Client befinden sehe ich zentral ebenfalls nicht. Was ich sehe, ist dass aktuell einige PCs diese Schwachstelle haben.

Beispielcomputer: Desktop3
Wenn ich im Forticlient schaue, wird dieser Rechner mit der Vulnerability geflagged.
Wenn aufs Dateisystem schaue, dann finde ich die log4... Dateien.
Wenn ich eine Suche per Script / ACMP mache, dann läuft er ohne Fehler durch und gibt "Kein Fund" aus.

Anbei 3 Screenshots...

Vielen Dank,
Christian Streck

Hallo,

der FortiClient scheint hier log4net zu finden, das heisst zwar so ähnlich wie log4j und stellt sicher auch ähnliche Funktionen bereit, ist aber eine komplett andere Bibliothek.
Das Client Command sucht nur log4j Instanzen, nicht log4net.

Das Client Command könnte man auf den abweichenden Namen anpassen. In der WMI Abfrage sollte nach Dateien gesucht werden und hier kann man dann den log4j Dateinamen durch log4net.ni mit Dateiendung .dll ändern, eventuell ist die Dateiendung auch .ni.dll, da bin ich mir bei der Syntax nicht sicher, müsste man testen.
Unter der Annahme natürlich, log4net liefert immer diese Datei log4net.ni.dll mit.