Ein Jahr nachher Log4Shell sind die meisten Unternehmen immer noch Angriffen ausgesetzt
[ad_1]
Die Log4j-Schwachstelle stellt ein Jahr nachher jener Offenlegung durch die Apache Software Foundation im vergangenen November weiterhin eine große Gefahr zum Besten von Unternehmen dar — obwohl die Reihe jener publik traut gegebenen Angriffe, die aufwärts den Fehler selbst abzielen, kleiner war, wie viele ursprünglich erwartet hatten.
Sicherheitsforscher sagen, dass ein hoher Prozentsatz jener Systeme immer noch nicht gegen den Fehler gepatcht wurde, und Unternehmen stillstehen vor jener Herausforderung, dasjenige Problem zu finden und zu beheben und dann zu verhindern, dass jener Fehler erneut in die Umgebung eingeführt wird.
“Die Tatsache, dass Log4j verwendet wird in [nearly] 64 % jener Java-Anwendungen und nur 50 % davon wurden aufwärts eine vollwertig gefixte Version aktualisiert, welches bedeutet, dass Angreifer weiterhin darauf abzielen werden“, sagt David Lindner, CISO im Kontext Contrast Security. „Zumindest im Moment nach sich ziehen Angreifer weiterhin zusammenführen großen Tag damit Pfade finden, die durch Log4j ausgenutzt werden können.”
Mehrere Angriffe, dennoch weniger wie erwartet
Jener Log4j-Fehler (CVE-2021-44228), allgemein wie Log4Shell bezeichnet, existiert in jener JNDI-Unterprogramm (Java Naming and Directory Interface) von Log4j zum Speichern und Abrufen von Wissen. Es gibt entfernten Angreifern eine trivial einfache Möglichkeit, die Prüfung hoch anfällige Systeme zu übernehmen – ein Problem, da Log4J in praktisch jeder Java-Anwendungsumgebung verwendet wird. Sicherheitsforscher betrachten es aufgrund seiner Verbreitung und jener relativen Leichtigkeit, mit jener Angreifer es ausnutzen können, wie eine jener bedeutendsten Schwachstellen jener letzten Jahre.
Im vergangenen Jahr gab es zahlreiche Berichte hoch Bedrohungsakteure, die aufwärts den Fehler abzielten, um sich zusammenführen ersten Zugang zu einem Zielnetzwerk zu verschaffen. An vielen dieser Angriffe waren von Nationalstaaten unterstützte APT-Gruppen (Advanced Persistent Threat) aus Reich der Mitte, Nordkorea, dem Persien und anderen Ländern beteiligt. Im November warnte z. B. die US-Behörde zum Besten von Cybersicherheit und Infrastruktursicherheit (CISA) vor einer von jener iranischen Regierung unterstützten APT-Typ, die die Log4j-Schwachstelle in einem ungepatchten VMware-Horizon-Server ausnutzt, um Cryptomining-Software und Credential Harvester in einem Bundesnetzwerk einzusetzen.
Die Warnung war homolog wie eine von Fortinet im März hoch den chinesischen Bedrohungsakteur Deep Panda, jener den identischen Vektor verwendet, um eine Hintertür aufwärts Zielsystemen einzusetzen, und eine andere von Vorfahre Labs hoch die nordkoreanische Lazarus-Typ, die ihre eigene Hintertür aufwärts die gleiche Weise verbreitet. Andere wie Microsoft nach sich ziehen ebenfalls berichtet, staatliche Akteure wie die iranische Phosphorous Group und Chinas Hf-Bedrohungsakteur beobachtet zu nach sich ziehen, wie sie Log4 verwenden, um Reverse-Granaten aufwärts infizierte Systeme abzuwerfen.
Widerwille solcher Berichte – und mehrerer anderer hoch geldlich motivierte Cyberkriminalitätsgruppen, die aufwärts Log4j abzielen – ist die tatsächliche Zahl jener publik gemeldeten Kompromittierungen mit Log4 vergleichsweise klitzeklein geblieben, insbesondere im Vergleich zu Vorfällen mit Exchange Server-Schwachstellen wie ProxyLogon und ProxyShell. Laut Bob Huber, Chief Security Officer im Kontext Tenable, waren Dimension und Umfang jener gemeldeten Angriffe in Anbetracht jener Schnörkellosigkeit jener Schwachstelle und des Angriffspfads verwunderlich kleiner wie erwartet. „Erst vor kurzem nach sich ziehen wir wenige signifikante Beweise zum Besten von gezielte Angriffe gesehen, wie durch die jüngsten nationalstaatlichen Aktivitäten von CISA festgestellt wurde“, sagt Huber.
Unverminderte Gefahr
Dies bedeutet jedoch nicht, dass die Gefahr durch Log4j im vergangenen Jahr abgenommen hat, stellen Sicherheitsforscher steif.
Zum zusammenführen ist ein großer Prozentsatz jener Unternehmen weiterhin so empfänglich zum Besten von die Gefahr wie vor einem Jahr. Eine kürzlich von Tenable durchgeführte Schlussbetrachtung jener Telemetrie im Zusammenhang mit dem Fehler zeigte, dass 72 % jener Unternehmen zum 1. zehnter Monat des Jahres empfänglich zum Besten von Log4j waren. Tenable stellte steif, dass 28 % jener Unternehmen weltweit den Fehler vollwertig behoben nach sich ziehen. Gleichwohl Tenable stellte steif, dass Organisationen, die ihre Systeme saniert hatten, oft immer wieder aufwärts Log4j stießen, wenn sie neue Assets zu ihren Umgebungen hinzufügten.
In vielen Fällen – in jener Tat 29 % – wurden Server, Webanwendungen, Container und andere Assets von kurzer Dauer nachher jener ersten Beseitigung zum Besten von Log4j empfänglich.
„Spekulativ, Unternehmen zusammensetzen die Problembeseitigung in die links jener Gleichung ein – während jener Build-Pipeline zum Besten von Software – sollten die Wiedereinführungsraten sinken“, sagt Huber. “Ein Hauptteil jener Wiedereinführungs- und Änderungsrate hängt stark vom Software-Release-Zyklus einer Organisation ab.”
Sogar trotz des weitestgehend allgegenwärtigen Bewusstseins des Fehlers intrinsisch jener Cybersicherheits-Netzwerk sind verwundbare Versionen von Log4j in vielen Organisationen aufgrund jener Fasson und Weise, wie Anwendungen es verwenden, nachher wie vor nicht erwünscht schwergewichtig zu finden. Wenige Anwendungen könnten die Open-Source-Logging-Komponente wie direkte Hörigkeit in ihren Anwendungen verwenden, und in anderen Fällen könnte eine Software Log4j wie transitive Hörigkeit verwenden – oder wie Hörigkeit einer anderen Hörigkeit, sagt Brian Fox, CTO im Kontext Sonatype.
„Da transitive Abhängigkeiten von Ihren direkten Abhängigkeitsentscheidungen eingeführt werden, sind sie Ihren Entwicklern notfalls nicht immer traut oder eins-zu-eins visuell“, sagt Fox.
Qua die Apache Foundation Log4Shell zum ersten Mal veröffentlichte, mussten Unternehmen in vielen Fällen Tausende von internen E-Mails versenden, Ergebnisse in Tabellenkalkulationen vereinen und Dateisysteme selbstaufrufend scannen, sagt Fox. „Dies kostete Unternehmen wertvolle Zeit und Ressourcen, um die Komponente zu patchen, und verlängerte dasjenige Dimension jener böswilligen Auswirkungen jener Schwachstelle“, sagt er.
Wissen aus dem Maven Central Java-Repository, dasjenige von Sonatype verwaltet wird, zeigen, dass 35 % jener Log4-Downloads derzeit weiterhin anfällige Versionen jener Software sind. „Viele Unternehmen versuchen immer noch, ihr Softwareinventar aufzubauen, vorweg sie gar mit einer Reaktion beginnen können, und sind sich jener Auswirkungen transitiver Abhängigkeiten nicht gewahr“, sagt Fox.
Aufgrund all dieser Probleme kam jener Überprüfungsausschuss des US-Heimatschutzministeriums Entstehen dieses Jahres zu dem Schluss, dass Log4 ein endemisches Sicherheitsrisiko ist, mit dem Unternehmen langjährig fertig werden zu tun sein. Die Mitglieder des Vorstands bewerteten, dass anfällige Instanzen von Log4j noch viele Jahre in Systemen verbleiben und Unternehmen aufwärts absehbare Zeit einem Angriffsrisiko aussetzen werden.
Dies eine positive Ergebnis
Sicherheitsforscher, die den Fehler verfolgen, sagen, dass die positive Effekt von Log4j die erhöhte Präsent ist, die es aufwärts Praktiken wie Software-Kompositionsanalyse und Software-Bill of Materials (SBOM) gelenkt hat. Die Herausforderungen, mit denen Organisationen konfrontiert sind, zurückgezogen die Feststellung, ob sie empfänglich sind oder wo die Schwachstelle in ihrer Umgebung existieren könnte, hat zu einem besseren Verständnis jener Notwendigkeit jener Transparenz aller Komponenten in ihrer Codebasis geführt – insbesondere derer aus Open-Source- und Drittanbieterquellen.
„Die Untersuchung des Log4J-Problems hat die Notwendigkeit einer besseren Zertifikat jener Softwarelieferkette zusätzlich zu SBOMs bestätigt, die mit jener Tempo von DevOps Schrittgeschwindigkeit halten“, sagt Matthew Rose, CISO im Kontext ReversingLabs. „Anwendungssicherheits- und Architekturteams nach sich ziehen erkannt, dass es nicht ausreicht, nur nachher Risiken in Teilen jener Software wie Quellcode, APIs oder Open-Source-Paketen zu suchen. Sie wiedererkennen jetzt, dass ein vollständiges Verständnis jener Anwendungsarchitektur genauso wichtig ist wie dasjenige Finden von SQLI oder Cross-Site-Scripting-Bugs (XSS)”, sagt er.