Blog

Alarmstufe Rot: Schützen Sie Ihr Unternehmen vor Log4j-Shell-Angriffen

/ Kategorie: Detect & Response

Am Freitag, dem 10.12.2021, versetzte die Entdeckung einer gravierenden Sicherheitslücke IT-Security Manager weltweit in Alarmbereitschaft. Denn die Java-Schwachstelle hat das Potenzial, Millionenschäden durch Cyberattacken zu erzeugen. Schützen Sie Ihre Systeme!

Die Anfang Dezember entdeckte Zero-Day-Schwachstelle in der beliebten Java-Protokollierungsbibliothek Log4j ist die vielleicht grösste Sicherheitsbedrohung seit Jahren. Denn Log4j ist eine sehr beliebte Open-Source-Java-Protokollierungsbibliothek, die von der Apache Software Foundation entwickelt wurde. Mit ihr wurden einige grundlegende Konzepte eingeführt, wie z. B. hierarchische Log-Ebenen, die in modernen Logging-Frameworks zum Standard geworden sind. Nahezu alle wichtigen Java-basierten Unternehmensanwendungen und -dienste verwenden Log4j, darunter iCloud, VMWare vCenter, Twitter und ElasticSearch.

Erhebliches Risiko

Die Schwachstelle ist deswegen so kritisch, weil sie eine unautorisierte Remotecodeausführung ermöglicht. Das bedeutet, dass Angreifer damit beliebigen Code auf jedem anfälligen Server ausführen können. Das allgegenwärtige Vorhandensein der Bibliothek hat unzählige Anwendungen und die Unternehmen, die sich auf sie verlassen, einem erheblichen Risiko ausgesetzt. Denn Log4Shell ist für Cyberkriminelle leicht ausnutzbar. Angreifer müssen die anfällige Anwendung nur dazu zwingen, eine einzige bösartige Zeichenfolge in das Protokoll zu schreiben - danach verwendet das System das Java Naming and Directory Interface (JNDI) für die Substitution von Nachrichten, falls aktiviert, und injiziert den eigenen Code der Angreifer in die Anwendung. Log4j kann diese Protokollnachrichten als entfernte Ressource interpretieren, alles abrufen, was unter der Adresse gefunden wird (z. B. über LDAP oder DNS), und sogar alle Nutzdaten, die es abruft, mit den vollen Rechten des Hauptprogramms ausführen. Das heisst: Angreifer können, wenn sie das wollen, das betroffene System komplett übernehmen.

Mit massiven Angriffen ist zu rechnen

Da Apache Log4j eine so weit verbreitete Bibliothek und die Sicherheitslücke so leicht ausnutzbar ist, ist, wie bereits seit dem Wochenende, auch in den nächsten Tagen und Wochen mit weit verbreiteten Angriffen auf Anwendungen und Dienste zu rechnen, die von Millionen von Unternehmen genutzt werden. Forscher beobachten bereits die Einbindung von Log4Shell in Botnets und seine Verwendung für Aktivitäten, die von Cryptojacking bis zum Diebstahl von Zugangsdaten und Daten reichen. Log4Shell hat auf der CVSS-Skala (Common Vulnerability Scoring System) den höchsten Schweregrad (10) erreicht. Auch Systeme, die nicht direkt mit dem Internet verbunden sind, sind vor einem Angriff nicht gefeit, denn eine Anfrage von einem kompromittierten Rechner reicht aus, um ein anderes System zu infiltrieren - ein Nachladen von Code über das Internet ist nicht nötig. Problematisch könnte die Situation vor allem während der Weihnachtsfeiertage werden, wenn die IT-Abteilungen spärlich besetzt sind und die Unternehmen dadurch weniger schnell reagieren können.

Sofortmassnahmen ergreifen

Der einfachste und effektivste Weg, Ihre Systeme zu schützen, ist die sofortige Installation des neuesten Log4j-Updates - Version 2.17.0, das über Apache Logging Services verfügbar ist. Dieser dritte Update behebt eine neue Schwachstelle CVE-2021-45105, die Denial-of-Service-Angriffe gegen verwundbare Instanzen ermöglicht. Die ersten beiden Updates 2.15.0 und 2.16.0 für Log4Shell-Lücke war nicht vollständig! Im Update Log4j 2.16.0 wurden die Sicherheitslücken aus CVE-2021-44228 und der darauf folgenden CVE-2021-45046 gefixt. Dazu muss aber zunächst bekannt sein, welche Systeme überhaupt upgedatet werden müssen. Das stellt sich in vielen Unternehmen als gar nicht so leicht heraus. Ausserdem benötigen Updates Zeit. Wenn es nicht möglich ist, alle relevanten Systeme rasch zu aktualisieren, gibt es kurzfristige Schutzmassnahmen:

  • Sofern bereits ein Update des Herstellers verfügbar ist, so sollte dieses getestet und eingespielt werden.
  • Falls noch kein Herstellerupdate herausgegeben wurde, so haben viele Hersteller Anweisungen zu Workarounds aufgeschaltet, welche ohne viel Risiko implementiert werden können.
  • Alternativ sollte auf Systemen mit Java-Anwendungen die Option "log4j2.formatMsgNoLookups" auf "true" gesetzt werden, indem die Java Virtual Machine mit dem Argument "-Dlog4j2.formatMsgNoLookups = True" gestartet wird. Dies funktioniert jedoch nur, wenn die Anwendung keinen Gebrauch davon macht.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik), das vor der Sicherheitslücke gewarnt hat, schlägt alternativ folgende Massnahmen vor, welche als generelle Best Practice Massnahmen angesehen werden können:

  • In Web Application Firewalls (WAF), Intrusion Prevention Systemen (IPS) oder Reverse Proxies werden Verbindungen, die Angriffsmuster aufweisen, direkt abgewiesen, ohne dass sie an die Fachanwendung weitergeleitet werden, oder nicht zwingend erforderliche HTTP-Header werden auf statische Werte gesetzt.
  • Blockieren Sie alle unnötigen ausgehenden Verbindungen.
  • Sorgen Sie für ein umfassendes Logging und die Protokollierung aller ein- und ausgehenden Verbindungen, um eine Kompromittierung im Nachhinein leichter feststellen zu können. Falls möglich, werten Sie die Logs, mit z. B. frei verfügbaren Detektions-Queries, aus.
  • Betreiben Sie Anomalie-Erkennung auf dem Host.
  • Prüfen Sie, mit welchen Rechten der betroffene Dienst betrieben wird und reduzieren Sie diese auf das notwendige Minimum.
  • Verbindungen zu anderen Systemen sollten gekappt werden.

Systeme, auf denen das Update auf Log4j Version 2.16.0 bereits erfolgt ist, können leider ebenfalls nicht direkt als sicher eingestuft werden, da sie bereits exponiert waren. Wir empfehlen daher, dass auch solche Systeme zusätzlich untersucht werden, ob sie bereits kompromittiert wurden. Dies gilt auch für Systeme, die nicht direkt mit dem Internet verbunden sind, da diese über angeschlossene Systeme kompromittiert worden sein könnten.

Um aktuell noch unbekannte Instanzen von Log4j zu identifizieren, empfehlen wir die Einführung einer Vulnerability Management Lösung und ein externes Attack Surface Monitoring.

Zusammen. Sicher.

Werden Sie aktiv und bleiben Sie wachsam. Verhindern Sie, dass Ihr Unternehmen Opfer von Cyberkriminellen wird. ISPIN beobachtet die Situation laufend und steht Ihnen zur Verfügung, wenn Ihre Organisation von einem Angriff betroffen ist oder Sie Unterstützung beim Schutz Ihrer Systeme benötigen.
Kontaktieren Sie uns via cybersecurity[at]ispin.ch oder +41 44 838 3111.

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.
Incident melden!