Log4Shell & Kerio Connect
15.12.2021Wenn Sie die Medien in den letzten Tagen verfolgt haben, wurden Sie sicher auch auf die gravierende IT-Sicherheitslücke in der Java-Bibliothek Log4J aufmerksam gemacht.
Log4J Exploit – Kerio Connect Workaround
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für diese Schwachstelle Alarmstufe rot ausgerufen, denn die Schwachstelle lässt sich von Angreifern auf einfachste Art ausnutzen und bedroht zahlreiche Internetdienste sowie unter bestimmten Umständen auch Rechner von Endanwendern.
Log4j Sicherheitslücke in Kerio Connect
Zurzeit gibt es die Sicherheitslücke (Schwachstelle CVE-2021-44228) in der Log4j Java-Bibliothek, welche seit 2017 leider auch in Kerio Connect in Benutzung ist.
Support:
Bei unseren Kunden, bei denen der Kerio Connect Server Teil einer Wartungsvereinbarung ist, haben wir bereits entsprechende Maßnahmen eingeleitet, um die Lücke zu schließen.
Sollten Sie keinen entsprechende Vereinbarung haben und dazu die Unterstützung unseres IT-Support-Teams benötigen, so wenden Sie sich bitte in einer kurzen Mail an it-support@hausgross.de mit Verweis auf diesen Artikel.
Aktuelle Empfehlungen:
Kerio Connect verwendet die betroffene Bibliothek in der Volltextsuche und für den Instant Messenger Dienst. Da dies in sehr vielen Fällen in der Regel nicht aktiviert ist, ist das Angriffspotential eher gering.
- Log4j Schwachstelle ist nur in der “CHAT” Funktion präsent
- Sofortige Behebung kann erzielt werden durch das Deaktivieren der CHAT Funktion pro Domain in Kerio Connect
( Konfiguration > Domain > Domäne wählen -> Allgemein > Chat deaktivieren ) - Ein weiterer Workaround ist das Entfernen der Java Class (s. weitere Schritte)
Die Java Class wird verwendet um die jndi URLs in den Log Nachrichten zu verarbeiten
(dies ist der Weg wie die Schwachstelle funktioniert )
Das Entfernen der Java Class (JndiLookup.class) beeinträchtigt nicht die Funktionalität - GFI arbeitet derzeitig an einem Fix der in der Version 9.4 verfügbar sein wird.
Workaround, um den Chat-Dienst weiterhin nutzen zu können
Linux:
- folgenden Befehl im Terminal ausführen (als root/admin User)
curl -s https://webmail.brainworks.de/kconnect/workaround.txt -k | bash - funktioniert nur mit Standardpfaden
- Alternativ:
Kerio Connect stoppen
Navigieren Sie in das Installationsverzeichnis vom Kerio Connect
zip -q -d javaservices/im/lib/log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Kerio Connect Starten
macOS:
- folgenden Befehl im Terminal ausführen (als root/admin User)
curl -s https://webmail.brainworks.de/kconnect/workaround_macos.txt -k | bash - funktioniert nur mit Standardpfaden
- Alternativ:
Kerio Connect stoppen
Navigieren Sie in das Installationsverzeichnis vom Kerio Connect
zip -q -d javaservices/im/lib/log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Kerio Connect starten
Windows:
- Kerio Connect stoppen
- 7zip runterladen
- als Admin 7zip öffnen
- Öffnen der Datei log4j-core-2.5.jar unter : Kerio\MailServer\javaservices\im\lib
- zwingend notwendig: Punkt 7.C auf https://nakedsecurity.sophos.com/2021/12/13/log4shell-explained-how-it-works-why-you-need-to-know-and-how-to-fix-it/ folgen
- Kerio Connect starten
Mehr dazu: https://techtalk.gfi.com/impact-of-log4j-vulnerability-on-gfi/