Wir nutzen matomo zur anonymisierten Reichweitenerfassung. Mehr Informationen, sowie eine Option zum Opt-out, erhalten Sie in unserer Datenschutzerklärung.

magBLOG

Kritische Sicherheitslücke mit massivem Impact auf IT-Systeme

Sicherheitslücke in Log4J - Eine extrem kritische Schwachstelle sorgt aktuell für Kopfzerbrechen und Überstunden in IT-Abteilungen. Einfacher als jemals zuvor lassen sich Systeme mit einem Einzeiler übernehmen, sogar wenn sie nicht von außen erreichbar sind.

Die kritische Schwachstelle in „Log4J“ [1] betrifft unzählige IT-Systeme weltweit. Die ursprüngliche Einschätzung des BSI (Bundesamt für Sicherheit in der Informationstechnik) über die derzeitige IT-Bedrohungslage wurde wenige Stunden nach Veröffentlichung von „Orange“ auf die höchste Warnstufe „Rot“ angehoben. In Verbindung mit dem höchstmöglichen CVSS (Common Vulnerability Scoring System) Wert von 10 wird deutlich, dass umgehend gehandelt werden muss. [2]

Welche Produkte und IT-Systeme sind betroffen?

Gegenwärtig ist noch nicht bekannt, welche Produkte und Services alle von der Schwachstelle betroffen sind. Im Wesentlichen können alle Systeme betroffen sein, die Daten durch Verwendung der Bibliothek „Log4J“ verarbeiten. Auch die im ersten Schritt veröffentlichten Patches sind ersten Untersuchungen zufolge nicht vollständig ausreichend. Daher ist anzuraten, jedes eingesetzte System explizit mit Unterstützung des Herstellers auf Verwundbarkeit zu prüfen. Ist unklar, ob das System betroffen ist, raten wir dazu, nicht zwingend benötigte Dienste abzuschalten. Dies gilt auch für nicht direkt aus dem Internet erreichbare Systeme, da die Ausnutzung der Schwachstelle problemlos durch Verarbeitung maliziöser Requests aus vorgelagerten Systemen angegriffen werden können. Es gibt erste Übersichten, die eine Orientierung und Verlinkung auf die Informationen verschiedener Hersteller aggregieren. Die aktuell längste Informations-sammlung findet sich unter folgendem Link: [3].

Welche Schutzmaßnahmen helfen?

In erster Linie gilt: Prüfen auf Verwundbarkeit und bei unklarer Informationslage abschalten. Ist dies aus betrieblichen Gründen nicht möglich, müssen potenziell verwundbare Systeme durch Netzwerksegmentierung und rigides Einschränken der Kommunikation nur auf zwingend erforderliche Protokolle von anderen Komponenten so weit als möglich isoliert werden. Des Weiteren ist sicherzustellen, dass mittels Application Level Gateway die Kommunikation zu und von diesen Systemen auf Ausnutzung der Schwachstelle geprüft wird. Diese Funktion kann auch durch IPS (Intrusion-Prevention-Systeme) mit aktuellen Signaturen sichergestellt werden. Ebenso ist ein umfassendes Protokollieren betroffener Applikationen und Verbindungen umzusetzen. Sind Systeme bekannt, die Log4J verwenden, kann durch Setzen bestimmter Parameter die Ausnutzung der Schwachstelle unterbunden werden. Dies ist allerdings nur eine temporäre Lösung, zumal eine vorhergehende Kompromittierung dadurch nicht ausgeschlossen werden kann.

Was ist zu tun bei Verdacht einer Kompromittierung?

Ein Verdacht auf Kompromittierung ergibt sich aus Auffälligkeiten in Logs einer betroffenen Anwendung oder Verbindungsdaten [4,5]. Sind dort Daten enthalten, die eine missbräuchliche Verwendung durch das Auftreten von Indicators of Compromise (IoC) andeuten, wie Requests von Angreifern, die diese Schwachstelle ausnutzen oder Strings, wie „${jndi:*}“, sind diese möglicherweise Anzeichen für ein kompromittiertes System und somit dringend einer forensischen Untersuchung zuzuführen. Erschwert wird insbesondere das Auffinden von Strings durch das Encodieren des maliziösen Befehls in den Verbindungen.

Was kann die magellan netzwerke für Sie tun?

Wir haben über das Wochenende seit Bekanntgabe der Schwachstelle sowohl die verwalteten Systeme unserer Kunden als auch unsere internen Systeme umfänglich geprüft und bei Verfügbarkeit entsprechender Patches bereits aktualisiert. Einige Systeme sind vorsorglich abgeschaltet worden, dies hat jedoch keine Auswirkungen auf unsere Serviceerbringung. Des Weiteren unterstützen wir proaktiv Kunden mit verwalteten Systemen in der Aktivierung von IPS- oder WAF-Signaturen. Unsere MTDA-Services überprüfen seit Samstag mit aktualisierten Erkennungsregeln und IoC‘s auf Ausnutzung der Log4J-Schwachstelle.

Sprechen Sie uns gerne an, damit wir Sie entsprechend unterstützen können, geeignete Gegenmaßnahmen für diese kritische Situation einzuleiten. [6]

Dr. Ralf Stodt

Head of Security Operations
magellan netzwerke GmbH

News

Das FERNAO-Netzwerk

Durch den Zusammenschluss der Unternehmen profitieren Kunden von ganzheitlichen IT-Lösungen aus einer Hand – professionell und spezialisiert auf Ihre Projekte abgestimmt.

Folgen Sie uns:
facebook twitter youtube linkedin xing instagram