Kritische Sicherheitslücke mit massivem Impact auf IT-Systeme

Einfacher als jemals zuvor lassen sich Systeme mit einem Einzeiler übernehmen, sogar wenn sie nicht von außen erreichbar sind.

Die kritische Schwachstelle in „Log4J“ [1] betrifft unzählige IT-Systeme weltweit. Die ursprüngliche Einschätzung des BSI (Bundesamt für Sicherheit in der Informationstechnik) über die derzeitige IT-Bedrohungslage wurde wenige Stunden nach Veröffentlichung von „Orange“ auf die höchste Warnstufe „Rot“ angehoben. In Verbindung mit dem höchstmöglichen CVSS (Common Vulnerability Scoring System) Wert von 10 wird deutlich, dass umgehend gehandelt werden muss. [2]

Gegenwärtig ist noch nicht bekannt, welche Produkte und Services alle von der Schwachstelle betroffen sind. Im Wesentlichen können alle Systeme betroffen sein, die Daten durch Verwendung der Bibliothek „Log4J“ verarbeiten. Auch die im ersten Schritt veröffentlichten Patches sind ersten Untersuchungen zufolge nicht vollständig ausreichend. Daher ist anzuraten, jedes eingesetzte System explizit mit Unterstützung des Herstellers auf Verwundbarkeit zu prüfen. Ist unklar, ob das System betroffen ist, raten wir dazu, nicht zwingend benötigte Dienste abzuschalten. Dies gilt auch für nicht direkt aus dem Internet erreichbare Systeme, da die Ausnutzung der Schwachstelle problemlos durch Verarbeitung maliziöser Requests aus vorgelagerten Systemen angegriffen werden können. Es gibt erste Übersichten, die eine Orientierung und Verlinkung auf die Informationen verschiedener Hersteller aggregieren. Die aktuell längste Informations-sammlung findet sich unter folgendem Link: [3].

In erster Linie gilt: Prüfen auf Verwundbarkeit und bei unklarer Informationslage abschalten. Ist dies aus betrieblichen Gründen nicht möglich, müssen potenziell verwundbare Systeme durch Netzwerksegmentierung und rigides Einschränken der Kommunikation nur auf zwingend erforderliche Protokolle von anderen Komponenten so weit als möglich isoliert werden. Des Weiteren ist sicherzustellen, dass mittels Application Level Gateway die Kommunikation zu und von diesen Systemen auf Ausnutzung der Schwachstelle geprüft wird. Diese Funktion kann auch durch IPS (Intrusion-Prevention-Systeme) mit aktuellen Signaturen sichergestellt werden. Ebenso ist ein umfassendes Protokollieren betroffener Applikationen und Verbindungen umzusetzen. Sind Systeme bekannt, die Log4J verwenden, kann durch Setzen bestimmter Parameter die Ausnutzung der Schwachstelle unterbunden werden. Dies ist allerdings nur eine temporäre Lösung, zumal eine vorhergehende Kompromittierung dadurch nicht ausgeschlossen werden kann.

Ein Verdacht auf Kompromittierung ergibt sich aus Auffälligkeiten in Logs einer betroffenen Anwendung oder Verbindungsdaten [4,5]. Sind dort Daten enthalten, die eine missbräuchliche Verwendung durch das Auftreten von Indicators of Compromise (IoC) andeuten, wie Requests von Angreifern, die diese Schwachstelle ausnutzen oder Strings, wie „${jndi:*}“, sind diese möglicherweise Anzeichen für ein kompromittiertes System und somit dringend einer forensischen Untersuchung zuzuführen. Erschwert wird insbesondere das Auffinden von Strings durch das Encodieren des maliziösen Befehls in den Verbindungen.

Wir haben über das Wochenende seit Bekanntgabe der Schwachstelle sowohl die verwalteten Systeme unserer Kunden als auch unsere internen Systeme umfänglich geprüft und bei Verfügbarkeit entsprechender Patches bereits aktualisiert. Einige Systeme sind vorsorglich abgeschaltet worden, dies hat jedoch keine Auswirkungen auf unsere Serviceerbringung. Des Weiteren unterstützen wir proaktiv Kunden mit verwalteten Systemen in der Aktivierung von IPS- oder WAF-Signaturen. Unsere MTDA-Services überprüfen seit Samstag mit aktualisierten Erkennungsregeln und IoC‘s auf Ausnutzung der Log4J-Schwachstelle.

Sprechen Sie uns gerne an, damit wir Sie entsprechend unterstützen können, geeignete Gegenmaßnahmen für diese kritische Situation einzuleiten. [6]

Hier finden Sie nochmals alle Links mit den weiterführenden Informationen:

[1] CVE Meldung
[2] BSI Warnung mit weiterführenden Informationen
[3] Übersicht zu Hersteller-Landingpages bzgl. Log4J
[4] Erkennung von Log4J-Ausnutzung in Logdaten
[5] Prüfung von Webservern auf Verwundbarkeit
[6] Unsere Kontaktmöglichkeit

Beachten Sie unser aktuelles Update