Seit Freitag ist bekannt, dass es eine massive Sicherheitslücke in der Java-Logging-Bibliothek „Log4j“ gibt. Diese erlaubt es einem Angreifer ohne weitere Authentifizierung Schadcode auf einem betroffenen System auszuführen.
Da es sich bei Log4j um eine weit verbreitete Softwarekomponente handelt, sind von diesem Problem weitreichende Teile der Software-Landschaft betroffen. Dies hat dazu geführt, dass auch das BSI bereits eine kritische Warnung zu dieser Schwachstelle herausgegeben hat.
Aufgrund der Reichweite und Kritikalität der Lücke erinnert sie bereits an die Shellshock Schwachstelle aus dem Jahre 2014, bei der ebenfalls ungeprüft Schadcode durch die Unix-shell Bash ausgeführt werden konnte.
CVSSv3 Rating liegt bei 10 von 10
Auf Basis der Schwere der Lücke und bereits vorhandener Exploits ist das CVSSv3 Rating bei 10 von 10 möglichen Punkten. Was ebenfalls den akuten Handlungsbedarf verdeutlicht.
Auch einige VMware Produkte sind hiervon betroffen. Eine genaue Liste finden Sie weiter unten, am Ende des Artikels. Aufgrund der hohen Verbreitung ist die vSphere Produktfamilie hier besonders hervorzuheben.
Aufgrund der kompakten Architektur des Hypervisors ist wie bei Shellshock der ESXi hier nicht betroffen, jedoch das vCenter als zentrale Management Instanz. Dies umfasst alle supporteten vCenter Versionen von Version 6.5, über 6.7 bis hin zu 7.0! Sowohl als Windows-Applikation, als auch als vCSA-Appliance.
Was sollten Sie jetzt unbedingt tun?
Aktuell existieren noch keine Patches für die einzelnen Produkte (Ausnahme sind hierbei einige Tanzu Komponenten und Cloud-basierte Services von VMware), daher ist das Einspielen der bereitgestellten Workarounds notwendig. Hierbei werden Anpassungen in der Konfigurationsdatei des Log-Wrapper und anderer Komponenten durchgeführt und die Dienste im Anschluss neu gestartet. Das Vorgehen unterscheidet sich je nach Version etwas. Daher sollten die konkreten Anweisungen präzise umgesetzt und die Umstellung im Nachgang geprüft werden.
Bisher sind keine Funktionseinschränkungen durch diesen Workaround bekannt. Dies muss jedoch noch im Detail evaluiert werden.
Sollten Sie Fragen zu den Auswirkungen auf Ihre IT-Infrastruktur haben oder Hilfe bei der Umsetzung nötiger Konfigurationsänderungen benötigen, stehen ihnen meine Kollegen und ich hierbei gerne zur Verfügung.
Betroffene VMware Produkte:
(Stand Mo 13.12.21)
- VMware Horizon
- VMware vCenter Server
- VMware HCX
- VMware NSX-T Data Center
- VMware Unified Access Gateway
- VMware WorkspaceOne Access
- VMware Identity Manager
- VMware vRealize Operations
- VMware vRealize Operations Cloud Proxy
- VMware vRealize Log Insight
- VMware vRealize Automation
- VMware vRealize Lifecycle Manager
- VMware Telco Cloud Automation
- VMware Site Recovery Manager, vSphere Replication
- VMware Carbon Black Cloud Workload Appliance
- VMware Carbon Black EDR Server
- VMware Tanzu GemFire
- VMware Tanzu Greenplum
- VMware Tanzu Operations Manager
- VMware Tanzu Application Service for VMs
- VMware Tanzu Kubernetes Grid Integrated Edition
- VMware Tanzu Observability by Wavefront Nozzle
- Healthwatch for Tanzu Application Service
- Spring Cloud Services for VMware Tanzu
- Spring Cloud Gateway for VMware Tanzu
- Spring Cloud Gateway for Kubernetes
- API Portal for VMware Tanzu
- Single Sign-On for VMware Tanzu Application Service
- App Metrics
- VMware vCenter Cloud Gateway
- VMware Tanzu SQL with MySQL for VMs
- VMware vRealize Orchestrator
- VMware Cloud Foundation
- VMware Workspace ONE Access Connector
- VMware Horizon DaaS
- VMware Horizon Cloud Connector
- VMware NSX Data Center for vSphere
- VMware AppDefense Appliance
Mittlerweile ist das Einspielen des Workarounds für die VCSA 7.x mittels Python Script möglich!