Wichtiges Update zur kritischen Sicherheitslücke in Log4J

Die Sicherheitslücke in Log4J sorgt weiterhin für Kopfzerbrechen und Überstunden in IT-Abteilungen. Einfacher als jemals zuvor lassen sich Systeme mit einem Einzeiler übernehmen, sogar wenn sie nicht von außen erreichbar sind.

Die extrem kritische Schwachstelle in „Log4J“ betrifft unzählige IT-Systeme weltweit. Die ursprüngliche Einschätzung des BSI (Bundesamt für Sicherheit in der Informationstechnik) über die derzeitige IT-Bedrohungslage wurde wenige Stunden nach Veröffentlichung von „Orange“ auf die höchste Warnstufe „Rot“ angehoben. In Verbindung mit dem höchstmöglichen CVSS (Common Vulnerability Scoring System) Wert von 10 wird deutlich, dass umgehend gehandelt werden muss. [1]

Nachdem in den vergangenen Tagen massenhafte und überwiegend automatisierte Angriffe auf die Schwachstelle beobachtet wurden, verändern sich die Angriffe aktuell derart, dass die ursächliche Verwundbarkeit für maliziöse Aktivitäten wie Implementierung von C&C (Command & Control) Schadsoftware oder zur Ausführung von Ransomware genutzt wird. Bitte beachten Sie auch die täglich aktualisierten Informationen des BSI zu diesem Thema [2,3].

Durch die große Verbreitung der verwundbaren Bibliothek „Log4J“ empfehlen wir, jedes IT-System dediziert zu überprüfen, ob und in welcher Version „Log4J“ zum Einsatz kommt. Bei vielen Produkten lässt sich das beispielsweise nicht durch eine Paketliste oder ein Software-Repository prüfen, sondern muss direkt mit dem Hersteller eines Produktes evaluiert werden. Ein Ausschluss in der Überprüfung darf auf keinen Fall darauf beruhen, ob ein System direkt über das Internet erreichbar ist oder nicht. Auch bei internen Systemen kann die Schwachstelle problemlos ausgenutzt werden.

Es gibt aktuell Landingpages, die wiederum Links zu den Herstellern enthalten, unter denen Workarounds oder Patch-Anweisungen veröffentlicht werden. Diese Listen finden sie unten stehend [4,5,6].

Ebenso empfehlen wir, die Aussagen der Soft- und Hardwareanbieter regelmäßig neu zu sichten, da die dort hinterlegten Mitigations-Maßnahmen zum Teil täglich aktualisiert werden. So sind die ersten Notfall-Patches der Kalenderwoche 50 bereits wieder obsolet, da die Schwachstelle weiterhin auch nach Aktualisierung der Log4J‑Bibliothek vorhanden war.

Ist unklar, ob ein System betroffen ist, raten wir weiterhin dazu, nicht zwingend benötigte Dienste abzuschalten. Dies gilt auch für nicht direkt aus dem Internet erreichbare Systeme, da die Ausnutzung der Schwachstelle problemlos durch Verarbeitung maliziöser Requests aus vorgelagerten Systemen erfolgen kann.

In erster Linie gilt: Prüfen auf Verwundbarkeit und bei unklarer Informationslage abschalten. Ist dies aus betrieblichen Gründen nicht möglich, müssen potenziell verwundbare Systeme durch Netzwerksegmentierung und rigides Einschränken der Kommunikation nur auf zwingend erforderliche Protokolle von anderen Komponenten so weit als möglich isoliert werden. Des Weiteren ist sicherzustellen, dass mittels Application Level Gateway die Kommunikation zu und von diesen Systemen auf Ausnutzung der Schwachstelle geprüft wird. Diese Funktion kann auch durch IPS (Intrusion-Prevention-Systeme) mit aktuellen Signaturen sichergestellt werden. Dabei ist darauf zu achten, dass auch verschlüsselte Verbindungen analysiert werden und das betreffende Analysesystem (IPS, WAF, NG-FW, etc.) encodierte Daten untersucht. Weiterhin ist ein umfassendes Protokollieren betroffener Applikationen und Verbindungen umzusetzen.

Sind Systeme bekannt, die Log4J verwenden, ohne dass eine Aktualisierung zur Verfügung steht, kann durch Setzen bestimmter Parameter die Ausnutzung der Schwachstelle unterbunden werden oder die betreffende Klasse vollständig entfernt werden. Dies ist allerdings nur eine temporäre Lösung, zumal eine vorhergehende Kompromittierung dadurch nicht ausgeschlossen werden kann und auch die Option besteht, dass die Software danach nicht mehr funktionsfähig ist.

Ein Verdacht auf Kompromittierung ergibt sich aus Auffälligkeiten in Logs einer betroffenen Anwendung oder Verbindungsdaten [7]. Sind dort Daten enthalten, die eine missbräuchliche Verwendung durch das Auftreten von Indicators of Compromise (IoC) andeuten, wie Requests von Angreifern, die diese Schwachstelle ausnutzen, sind dies möglicherweise Anzeichen für ein kompromittiertes System und somit dringend einer forensischen Untersuchung zuzuführen. Erschwert wird insbesondere das Auffinden von Strings durch das Encodieren des maliziösen Befehls in den Verbindungen.

Wir haben seit Bekanntgabe der Schwachstelle sowohl die verwalteten Systeme unserer Kunden als auch unsere internen Systeme umfänglich geprüft und bei Verfügbarkeit entsprechender Patches aktualisiert. Einige Systeme sind vorsorglich abgeschaltet worden, dies hat jedoch keine Auswirkungen auf unsere Serviceerbringung. Für alle Soft- und Hardwareprodukte haben wir Informationen vorbereitet und mit den zugehörigen Technologieverantwortlichen Maßnahmenpakete abgestimmt, die wir Ihnen anbieten können. Des Weiteren unterstützen wir proaktiv Kunden mit verwalteten Systemen in der Aktivierung von IPS- oder WAF-Signaturen. Unsere MTDA-Services überwachen kontinuierlich mit aktualisierten Erkennungsregeln und IoC‘s auf Ausnutzung der Log4J-Schwachstelle.

Sprechen Sie uns gerne an, damit wir Sie entsprechend unterstützen können, geeignete Gegenmaßnahmen für diese kritische Situation einzuleiten. [8]

Hier finden Sie nochmals alle Links mit den weiterführenden Informationen:

[1] CVE Meldung
[2] BSI Warnung mit weiterführenden Informationen
[3] Hinweise zu Detektion und Reaktion (BSI)
[4] Übersicht 1 zu Hersteller-Landingpages bzgl. Log4J (SwitHak)
[5] Übersicht 2 zu Hersteller-Landingpages bzgl. Log4J (NCSC NL)
[6] Übersicht 3 zu Hersteller-Landingpages bzgl. Log4J (CISA USA)
[7] Erkennung von Log4J-Ausnutzung in Logdaten
[8] Unsere Kontaktmöglichkeit