15.12.2021 / Kategorie: Detect & Response
Am Freitag, dem 10.12.2021, versetzte die Entdeckung einer gravierenden Sicherheitslücke IT-Security Manager weltweit in Alarmbereitschaft. Denn die Java-Schwachstelle hat das Potenzial, Millionenschäden durch Cyberattacken zu erzeugen. Schützen Sie Ihre Systeme!
Die Anfang Dezember entdeckte Zero-Day-Schwachstelle in der beliebten Java-Protokollierungsbibliothek Log4j ist die vielleicht grösste Sicherheitsbedrohung seit Jahren. Denn Log4j ist eine sehr beliebte Open-Source-Java-Protokollierungsbibliothek, die von der Apache Software Foundation entwickelt wurde. Mit ihr wurden einige grundlegende Konzepte eingeführt, wie z. B. hierarchische Log-Ebenen, die in modernen Logging-Frameworks zum Standard geworden sind. Nahezu alle wichtigen Java-basierten Unternehmensanwendungen und -dienste verwenden Log4j, darunter iCloud, VMWare vCenter, Twitter und ElasticSearch.
Die Schwachstelle ist deswegen so kritisch, weil sie eine unautorisierte Remotecodeausführung ermöglicht. Das bedeutet, dass Angreifer damit beliebigen Code auf jedem anfälligen Server ausführen können. Das allgegenwärtige Vorhandensein der Bibliothek hat unzählige Anwendungen und die Unternehmen, die sich auf sie verlassen, einem erheblichen Risiko ausgesetzt. Denn Log4Shell ist für Cyberkriminelle leicht ausnutzbar. Angreifer müssen die anfällige Anwendung nur dazu zwingen, eine einzige bösartige Zeichenfolge in das Protokoll zu schreiben - danach verwendet das System das Java Naming and Directory Interface (JNDI) für die Substitution von Nachrichten, falls aktiviert, und injiziert den eigenen Code der Angreifer in die Anwendung. Log4j kann diese Protokollnachrichten als entfernte Ressource interpretieren, alles abrufen, was unter der Adresse gefunden wird (z. B. über LDAP oder DNS), und sogar alle Nutzdaten, die es abruft, mit den vollen Rechten des Hauptprogramms ausführen. Das heisst: Angreifer können, wenn sie das wollen, das betroffene System komplett übernehmen.
Da Apache Log4j eine so weit verbreitete Bibliothek und die Sicherheitslücke so leicht ausnutzbar ist, ist, wie bereits seit dem Wochenende, auch in den nächsten Tagen und Wochen mit weit verbreiteten Angriffen auf Anwendungen und Dienste zu rechnen, die von Millionen von Unternehmen genutzt werden. Forscher beobachten bereits die Einbindung von Log4Shell in Botnets und seine Verwendung für Aktivitäten, die von Cryptojacking bis zum Diebstahl von Zugangsdaten und Daten reichen. Log4Shell hat auf der CVSS-Skala (Common Vulnerability Scoring System) den höchsten Schweregrad (10) erreicht. Auch Systeme, die nicht direkt mit dem Internet verbunden sind, sind vor einem Angriff nicht gefeit, denn eine Anfrage von einem kompromittierten Rechner reicht aus, um ein anderes System zu infiltrieren - ein Nachladen von Code über das Internet ist nicht nötig. Problematisch könnte die Situation vor allem während der Weihnachtsfeiertage werden, wenn die IT-Abteilungen spärlich besetzt sind und die Unternehmen dadurch weniger schnell reagieren können.
Der einfachste und effektivste Weg, Ihre Systeme zu schützen, ist die sofortige Installation des neuesten Log4j-Updates - Version 2.17.0, das über Apache Logging Services verfügbar ist. Dieser dritte Update behebt eine neue Schwachstelle CVE-2021-45105, die Denial-of-Service-Angriffe gegen verwundbare Instanzen ermöglicht. Die ersten beiden Updates 2.15.0 und 2.16.0 für Log4Shell-Lücke war nicht vollständig! Im Update Log4j 2.16.0 wurden die Sicherheitslücken aus CVE-2021-44228 und der darauf folgenden CVE-2021-45046 gefixt. Dazu muss aber zunächst bekannt sein, welche Systeme überhaupt upgedatet werden müssen. Das stellt sich in vielen Unternehmen als gar nicht so leicht heraus. Ausserdem benötigen Updates Zeit. Wenn es nicht möglich ist, alle relevanten Systeme rasch zu aktualisieren, gibt es kurzfristige Schutzmassnahmen:
Das BSI (Bundesamt für Sicherheit in der Informationstechnik), das vor der Sicherheitslücke gewarnt hat, schlägt alternativ folgende Massnahmen vor, welche als generelle Best Practice Massnahmen angesehen werden können:
Systeme, auf denen das Update auf Log4j Version 2.16.0 bereits erfolgt ist, können leider ebenfalls nicht direkt als sicher eingestuft werden, da sie bereits exponiert waren. Wir empfehlen daher, dass auch solche Systeme zusätzlich untersucht werden, ob sie bereits kompromittiert wurden. Dies gilt auch für Systeme, die nicht direkt mit dem Internet verbunden sind, da diese über angeschlossene Systeme kompromittiert worden sein könnten.
Um aktuell noch unbekannte Instanzen von Log4j zu identifizieren, empfehlen wir die Einführung einer Vulnerability Management Lösung und ein externes Attack Surface Monitoring.
Werden Sie aktiv und bleiben Sie wachsam. Verhindern Sie, dass Ihr Unternehmen Opfer von Cyberkriminellen wird. ISPIN beobachtet die Situation laufend und steht Ihnen zur Verfügung, wenn Ihre Organisation von einem Angriff betroffen ist oder Sie Unterstützung beim Schutz Ihrer Systeme benötigen.Kontaktieren Sie uns via cybersecurity[at]ispin.ch oder +41 44 838 3111.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications