Warum Log4j-Mitigation mit Herausforderungen verbunden ist

Sicherheitsteams, die daran funktionieren, die Gefährdung ihres Unternehmens durch die Log4j-Schwachstelle zu mindern, zu tun sein viele Herausforderungen meistern. Zusammenhängen die Erfassung des gesamten Ausmaßes dieser Gefährdung, dasjenige Ermitteln von Problemumgehungen zu Gunsten von Systeme, die nicht gepatcht werden können, und die Sicherung dieser Sicherung von Produkten und Diensten von Drittanbietern.

Z. Hd. viele wird die Niederlage noch komplizierter durch die Notwendigkeit, ständig nachdem Anzeiger von Angreifern zu suchen, die versuchen, den Fehler auszunutzen, oder hinauf Hinweise, dass sie notfalls schon kompromittiert wurden, sagten Sicherheitsexperten jene Woche.

Log4j ist ein Protokollierungstool, dasjenige in so gut wie allen Java-Anwendungen vorhanden ist. In Log4j-Versionen von 2.0-beta9 solange bis 2.14.1 existiert eine kritische Sicherheitslücke (CVE-2021-44228) zur Remotecodeausführung, die es Angreifern ermöglicht, die volle Test oberhalb anfällige Systeme zu übernehmen. Die Apache Foundation hat letzte Woche eine aktualisierte Version des Tools (Apache Log4j 2.15.0) veröffentlicht und am zweiter Tag der Woche dann ein zweites Update veröffentlicht, da dieser ursprüngliche Rapide nicht vollwertig vor Denial-of-Tafelgeschirr (DoS)-Angriffen und Datendiebstahl schützte.

Die Schwachstelle wird allgemein denn eine dieser gefährlichsten dieser jüngsten Zeit geachtet, da sie leichtgewichtig auszunutzen ist und in praktisch jeder IT-Umgebung vorhanden ist. Veracode stellte wie starr, dass 88 % seiner Kunden eine Version von Log4j verwenden und 58 % eine anfällige Version in ihren Umgebungen nach sich ziehen.

Angreifer hinauf dieser ganzen Welt nach sich ziehen versucht, den Fehler auszunutzen, seit dem Zeitpunkt er letzte Woche zum ersten Mal prominent wurde. Zahlreiche Provider nach sich ziehen Versuche beobachtet, Coin-Miner, Ransomware, Remote-Access-Trojanisches Pferd, Web-Shells und Botnet-Schadsoftware zu verteilen. Armis berichtete am Mittwoch, dass rund 35 % seiner Kunden oberhalb die Schwachstelle angeschaltet angegriffen wurden und 31 % eine Log4j-bezogene Gefahr hinauf nicht verwalteten Geräten hatten. Jener Sicherheitsanbieter gab an, solange bis zu 30.000 Angriffsversuche gegen seine Kunden beobachtet zu nach sich ziehen. Mehrere andere Provider nach sich ziehen ähnliche Aktivitäten gemeldet.

Armis stellte starr, dass Server, virtuelle Maschinen und mobile Geräte bisher die am stärksten anvisierten Assets in IT-Umgebungen waren. In OT-Netzwerken waren 49 % dieser kompromittierten Geräte virtuelle Maschinen und 43 % Server. Andere Zielgeräte in OT-Netzwerken sind IP-Kameras, Menschengerecht Machine Interface (HMI)-Geräte und SCADA-Systeme.

Eingrenzen des Problems
Laut Sicherheitsexperten besteht eine dieser größten Herausforderungen zu Gunsten von Unternehmen zusammen mit dieser Verteidigung von Angriffen hinauf Log4j darin, herauszufinden, ob sie dieser Gefahr vollwertig ausgesetzt sind. Die Schwachstelle kann nicht nur in den internetfähigen Assets eines Unternehmens vorhanden sein, sondern wiewohl in internen und Back-End-Systemen, Netzwerk-Switches, SIEM- und anderen Protokollierungssystemen, intern entwickelten und Drittanbieter-Apps, in SaaS- und Cloud-Diensten und Umgebungen, in denen sie vielleicht nicht einmal wissen. Die Abhängigkeiten zwischen verschiedenen Anwendungen und Komponenten bedeuten, dass wiewohl wenn eine Komponente die Schwachstelle nicht offen aufweist, sie obwohl davon betroffen sein kann.

Die Stil und Weise, wie Java-Packaging funktioniert, kann es oft schwierig zeugen, betroffene Anwendungen zu identifizieren, sagt Noname Security. Qua Vorbild könnte eine Java-Archivdatei (JAR) jeglicher Abhängigkeiten – einschließlich dieser Log4j-Bibliothek – einer bestimmten Komponente enthalten. Doch jene JAR-File könnte eine weitere JAR-File enthalten, die wiederum eine weitere JAR-File enthalten könnte – im Wesentlichen verbirgt sie die Schwachstelle mehrere Schichten tief, so dieser Sicherheitsanbieter.

„Eine dieser größten Herausforderungen zu Gunsten von Unternehmen zusammen mit dieser Eindämmung dieser in Log4j gefundenen Schwachstellen besteht darin, jeglicher kompromittierten Assets zu identifizieren“, sagt Gustavo Palazolo, Threat Research Engineer zusammen mit Netskope. Die Log4j-Apache-Java-basierte Protokollierungsbibliothek ist sehr beliebt und kann von vielen Anwendungen sowie von IoT-Geräten und Legacy-Systemen verwendet werden, die aus Gründen dieser Abwärtskompatibilität sauber werden, fügt er hinzu.

Sogar wenn sich herausstellt, dass eine Verwendung nicht stabil ist, kann es schwierig sein, sie zu updaten, da sich ein Unternehmen die Standzeit notfalls nicht leisten kann oder keine geeigneten Kontrollen zu Gunsten von dasjenige Patch-Management vorhanden sind.

„Von dort kann die Zeit zwischen dieser Identifizierung aller kompromittierten Systeme und dieser Beseitigung des Problems in einigen Szenarien lange Zeit dauern“, sagt Palazolo.

APIs und Risiken von Drittanbietern
Apps sind nicht dasjenige einzige Problem. Die Log4j-Schwachstelle kann sich wiewohl hinauf Umgebungen mit Anwendungsprogrammierschnittstellen (API) auswirken. API-Server, die die Schwachstelle enthalten, eröffnen vereinen attraktiven Angriffsvektor, da viele Unternehmen nur begrenzte Einblicke in ihren API-Lagerbestand und dasjenige Verhalten ihrer APIs nach sich ziehen, sagte Noname. Ein Unternehmen, dasjenige dasjenige Log4j-Protokollierungsframework nicht verwendet, verwendet notfalls vertrauenswürdige APIs von Drittanbietern, die den Log4j-Fehler enthalten, und setzt es indem einem Risiko aus.

„Z. Hd. eine Organisation, die dasjenige Risiko von [Log4j vulnerability] Auswertung oberhalb APIs zu tun sein mehrere Schritte unternommen werden”, sagt Aner Morag, Vice President of Technology zusammen mit Noname Security. Dazu gehört die Zuordnung aller Server, die APIs bewirten, mit einem beliebigen Java-Tätigkeit, sodass keine Benutzereingaben zu einer Protokollnachricht hinauf irgendeinem gelangen. API-Server, dieser vereinen Proxy oder vereinen anderen Umstand verwendet, um zu steuern, mit welchen Servern sich Back-End-Dienste verbinden können, und APIs hinter einem API-Gateway oder Load Balancer stellen, sagt Morag.

Eine weitere Herausforderung zu Gunsten von Unternehmen besteht darin, sicherzustellen, dass jeglicher Produkte und Dienste von Drittanbietern, die sie verwenden, ordnungsgemäß gepatcht werden oder oberhalb geeignete Maßnahmen gegen den Fehler verfügen.

“Viele Herstellerprodukte sind betroffen, [and] Die verkettete Liste dieser betroffenen Provider wächst täglich”, sagt Tom Gorup, Vice President of Security Operations zusammen mit Alert Logic. “Nicht jeglicher Provider nach sich ziehen Patches zur Verfügung.”

Gorup empfiehlt Sicherheitsteams, die Websites ihrer Provider zu ermitteln oder sich offen an jene zu wenden, um zu sachkundig, ob eines ihrer Produkte betroffen ist. Ein Provider ist notfalls nicht stabil, hat jedoch Maßnahmen zur Risikominderung veröffentlicht, um seine Kunden zu schützen.

“Zumindest möchten Sie wissen, wie Sie ermitteln können, ob Ihre Assets dasjenige Update erhalten nach sich ziehen”, bemerkt Gorup. Außerdem schlägt er Sicherheitsteams Checklisten zu Gunsten von anfällige Produkte vor, die in den letzten Tagen verfügbar geworden sind, wie jene hinauf GitHub.

“Eine Reaktion hinauf jene Schwachstelle mag sein: ‘Wir verwenden kein Java'”, sagt Gorup. „Wenn dies zutrifft, ist es notfalls in Ihrer Drittanbietersoftware eingebettet, welches dazu resultieren kann, dass Ihre Schwachstellen-Scans nicht angezeigt werden [the threat].”