Alles, was Sie über die Log4j-Schwachstelle wissen müssen

Die letzten Monate waren für Sicherheitsteams sehr anstrengend, und viele werden weiterhin mit der Gewährleistung einer ganzheitlichen Reaktion zu kämpfen haben. Zunächst einmal ist es wichtig, ein Verständnis der relevanten technischen Grundlagen zu entwickeln, um die aktuellen Ereignisse zu verstehen.

Vor einundzwanzig Jahren entwickelte sich Log4j v1 zu einer Standard-Protokollierungsbibliothek für Java™-Anwendungen. Die Log4j v2 ist heutzutage einer von mehreren Protokollierungsservices für eine Vielzahl von Java-basierten Services. Es wird als Teil der Open-Source-Lizenz der Apache Software Foundation® vertrieben, um Anwendungen einen unkomplizierten Mechanismus zur Protokollierung von Anwendungs- und benutzergenerierten Daten innerhalb einer Anwendung zu bieten.

Darüber hinaus gibt es innerhalb von log4j eine Schnittstelle namens Java Naming and Directory Interface (JNDI), die das Auffinden von Objekten und Variablen ermöglicht. Dieser Auffindungsprozess fungiert als Startpunkt für die Angriffe. Die Infektionen reichen vom einfachen Massenscannen innerhalb des Netzwerks auf der Suche nach anderen Hosts, die infiziert werden können, bis hin zur Installation von Backdoors, durch die Daten herausgeschleust werden können. 

Die Log4j-Schwachstelle

Anfälliger Code innerhalb der JNDI-Lookup-Funktionsklasse, der aus Überarbeitungen im Jahr 2013 stammte, ermöglichte diese Angriffe. Erst vor kurzem, nämlich am 24. November 2021, entdeckte ein Sicherheitsforscher die Schwachstelle und trug sie in die Öffentlichkeit.

Durch diese Schwachstelle konnten Angreifer einfach Befehle an Server senden, die, wenn sie anfällig wären, jeden dieser Befehle ausführten. Darüber hinaus enthielt er eine der kritischsten Infektionsklassen, die Remote Code Execution (RCE), die Angreifern vollen Remote-ZUgang auf das Host-System ermöglicht, um so alle möglichen Befehle durchzuführen.

Kurz nach der öffentlichen Ankündigung der Schwachstelle begannen Angreifergruppen mit der Entwicklung von Software, die die Sicherheitslücke in großem Umfang im Internet aufspüren und ausnutzen sollte. Einige verbreiteten den Code sogar kostenlos, damit andere Angreifer oder Staaten ebenfalls nach potenziellen Opfern suchen konnten.

Am 9. und 10. Dezember 2021 wurden die Schwachstellen in den Datenbanken der Unternehmen zur Identifizierung und Bewältigung von Schwachstellen veröffentlicht, um die Öffentlichkeit darauf aufmerksam zu machen. Zu diesem Zeitpunkt waren Bots jedoch bereits dabei, alle schwachen Systeme zu scannen und auszunutzen, die sie finden konnten.

In den darauffolgenden Wochen wurden in den Log4j-Bibliotheken weitere Schwachstellen entdeckt. Zudem gingen die Sicherheits- und Entwicklungsteams im Dezember 2021 die Erkenntnisse an. Nachfolgend finden Sie die aktuellen Schwachstellen rund um Log4j v2:

So schützen Sie Ihr Netzwerk

Unser Sicherheitsteam empfiehlt die folgenden Maßnahmen, um Unternehmen vor Ausnutzung der Schwachstelle Log4j zu schützen: 

Früh und häufig patchen

Die aktuelle Patchlevel-Version speziell für Log4j ist 2.17.1. Betrachten Sie die Vorkommnisse als Gelegenheit zum Lernen. Falls noch nicht vorhanden, nutzen Sie diese Zeit, um ein System oder einen systematischen Prozess zu entwickeln, der sicherstellt, dass die zukünftigen Versionen aller Anwendungen, Software, Codes, Workstations und Server durch regelmäßiges Scannen und Patchen auf dem neuesten Stand bleiben. 

Zero Trust entwickeln

Behandeln Sie das Innere eines Netzwerks genauso wie das äußere, nicht vertrauenswürdige Netzwerk. Entwickeln Sie beispielsweise einen Zero-Trust- oder Least-Privilege-Ansatz, der nur Personen erforderliche Zugriffe und Berechtigungen gewährt, die diese wirklich für die Geschäftskontinuität benötigen. Außerdem sollten Sie Workloads voneinander trennen. Wenn eine Anwendung oder ein System nicht kommunizieren muss, verweigern Sie diesem Datenverkehr standardmäßig den Zugriff. 

Vom Schlimmsten ausgehen

Gehen Sie davon aus, dass alle RCE-basierten Schwachstellen zu wurmfähigen Infektionen führen können, was bedeutet, dass durch den betroffenen Server andere Server ebenfalls anfällig sind. Gehen Sie davon aus, dass Ihre Systeme und Netzwerke kompromittiert werden.

Den Code entfernen

Wenn ein Patching auf die neueste Code-Revision von Log4j-basierten Anwendungen nicht möglich ist, sollten Sie erwägen, die JDNI-Lookup-Klassifizierungsfunktion zu entfernen. Gehen Sie hier jedoch mit Vorsicht vor, da einige Anwendungen anschließend möglicherweise nicht mehr wie vorgesehen funktionieren. 

Schädliche Aktivitäten untersuchen

Wenn Sie eine anfällige Version von log4j einsetzen, suchen Sie nach Anzeichen für einen Angriff oder eine Kompromittierung. Die Schwachstelle kann beispielsweise die Erstellung neuer Benutzer, unerwartete Protokollierungsaktivitäten, ungewöhnlich hohe Ressourcennutzung oder seltsamen Netzwerkdatenverkehr beim Betreten und Beenden Ihrer Workloads umfassen. 

Sicherheitstests

Führen Sie Purple-Team-Übungen durch, bei denen das rote Team angreift und das blaue Team die Sichtbarkeit überprüft und dafür sorgt, dass Abwehrmaßnahmen wie EDR und IPS wie gewünscht funktionieren. Sollte dies nicht der Fall sein, passen Sie die Abwehrmechanismen entsprechend an und führen Sie die Übung erneut durch. 

Tracking. Tracking. Tracking.

Erstellen Sie ein System für das Tracking Ihres Netzwerks, einschließlich Assets, Benutzer und Anbietersoftware. Wenn Sie plötzlich neue unbekannte Assets, Benutzer oder Software mit unbekanntem Ursprung finden, untersuchen Sie sie. Verfolgen Sie den Weg der Eindringlinge nach, um ihren Ursprung zu identifizieren. 

Solving Together

Es ist Zeit, eine Roadmap zu erstellen. Beginnen Sie mit den folgenden fünf Fragen.

1) Wie würde Ihr Unternehmen reagieren?

2) Würden Ihre kritischen Protokolle bereits außerhalb des Geräts zur Untersuchung gespeichert werden?

3) Könnte die Anwendung oder Datenbank zeitnah aus einem Backup wiederhergestellt werden?

4) Wüsste jemand im Team, wie man ein forensisch einwandfreies Image erstellt?

5) Sind Rollen und Verantwortlichkeiten klar zugewiesen, damit jedes Teammitglied seine Aufgaben kennt und weiß, wen es kontaktieren sollte?

Cybersicherheit war immer schon wichtig. Aktuell hat sie jedoch angesichts des Anstiegs der Anzahl und Intensität von Cyberangriffen an neuer Dringlichkeit gewonnen. Allerdings glauben Unternehmen allzu oft, dass sie komplexe Sicherheitsherausforderungen im Griff haben – diese Wahrnehmung ist weit von der Realität entfernt. Unsere aktuelle Umfrage unter 1400 weltweit tätigen IT-Führungskräften zeigt, dass viele ein überschätztes Selbstvertrauen bezüglich Ihrer Sicherheitskompetenzen besitzen.

Das Whitepaper „Bewältigt die Cybersicherheit die wachsenden aktuellen Heranforderungen?“ von Rackspace Technology® gibt Aufschluss darüber, wie IT-Führungskräfte ihre aktuelle Cybersecurity-Situation einschätzen und eine Sicherheitsstrategie erstellen können, die mit der immer komplexeren Cyberbedrohungslandschaft mithalten kann.