Log4j – Fachpersonen sprechen von «Internet-Apokalypse»
Vier Antworten zur Sicherheitslücke bzw. Schwachstelle Log4j
Eine Schwachstelle in Java-Software hält seit dem Wochenende das IT-Sicherheitspersonal wach. Millionen von Anwendungen sind betroffen. Die kritische Lücke in der Java-Bibliothek Log4j beherrscht aktuell die Schlagzeilen. Die IT-Welt ruft die”Warnstufe Rot” aus – weil offenbar der log4j-Code JNDI-Variablenexpansion vornehmen kann. Deswegen veröffentlichte, am 9. Dezember 2021, die Apache Software Foundation einen Sicherheitshinweis, der eine Schwachstelle in Bezug auf Remotecodeausführung (CVE-2021-44228) behebt, die das Java-basierte Logging-Dienstprogramm Log4j betrifft. MITRE stufte die Schwachstelle als sehr kritisch ein und bewertete sie mit einem CVSS-Wert von 10/10. Kurz darauf begannen Angreifer in freier Wildbahn, die Log4j Schwachstelle auszunutzen, was staatliche Cybersicherheitsinstitutionen auf der ganzen Welt, darunter die United States Cybersecurity and Infrastructure Security Agency und das Swiss Government Computer Emergency Response Team, dazu veranlasste, Warnungen herauszugeben, in denen sie Unternehmen aufforderten, ihre Systeme umgehend zu patchen.
Doch was ist JNDI?
Jindi al Dap ist der Name eines arabischen Philosophen und Mathematik-Pioniers, der für Sun/Oracle gearbeitet hat, um ein System von Directory Lookups in Java zu entwickeln. Dieses System lädt Code aus dem Internet nach.
Wie weit ist die Log4j Schwachstelle verbreitet, und welche Systeme sind davon betroffen?
Die Log4j Sicherheitslücke ist extrem weit verbreitet und kann Unternehmensanwendungen, eingebettete Systeme und deren Unterkomponenten betreffen. Java-basierte Anwendungen wie Cisco Webex, Minecraft und FileZilla FTP sind alles Beispiele für betroffene Programme, aber diese Liste ist keineswegs vollständig oder abschliessend. Die Schwachstelle betrifft sogar die Mars-Mission “Mars 2020”, die Apache Log4j für die Ereignisprotokollierung nutzt.
Die Sicherheitsgemeinschaft hat Ressourcen erstellt, die anfällige Systeme katalogisieren. Es ist jedoch wichtig zu wissen, dass sich diese Listen ständig ändern. Wenn also eine bestimmte Anwendung oder ein bestimmtes System nicht darin enthalten ist, sollten Sie dies auf keinen Fall als Garantie dafür ansehen, das es nicht betroffen ist. Die Wahrscheinlichkeit, dass diese Schwachstelle ausgenutzt wird, ist hoch, und selbst wenn ein bestimmter technischer Stack kein Java verwendet, sollten Sicherheitsverantwortliche davon ausgehen, dass wichtige Lieferantensysteme – SaaS-Anbieter, Cloud-Hosting-Anbieter und Webserver-Anbieter – dies tun.
Angenommen, die Schwachstelle wird ausgenutzt, welche Bedrohung stellt dies für Unternehmensanwendungen und -Systeme dar?
Wenn die Schwachstelle nicht behoben wird, könnten Angreifer sie nutzen, um Server, Anwendungen und Geräte zu übernehmen und um in Unternehmensnetzwerke einzudringen. Es gibt bereits Berichte über Malware, Ransomware und andere automatisierte Bedrohungen, die diese Sicherheitslücke aktiv ausnutzen.
Die Angriffsschwelle für diese Sicherheitslücke ist sehr niedrig. Ein Angreifer muss lediglich eine einfache Zeichenfolge in ein Chat-Fenster eingeben. Die Schwachstelle wird vor der Authentifizierung ausgenutzt, das heisst ein Angreifer muss sich nicht bei einem anfälligen System anmelden, um die Schwachstelle zu überwinden und das System zu überlisten. Mit anderen Worten: Rechnen Sie damit, dass Sie angreifbar sind.
Welche Schritte sollten Verantwortliche für Cybersicherheit unternehmen, um das Unternehmen zu schützen?
Die Verantwortlichen für Cybersicherheit müssen die Identifizierung und Behebung dieser Schwachstelle zu einer absoluten und sofortigen Priorität machen. Beginnen Sie mit einer detaillierten Prüfung aller Anwendungen, Websites und Systeme in Ihrem Verantwortungsbereich, die mit dem Internet verbunden sind oder als öffentlich zugänglich angesehen werden können. Dazu gehören auch selbst gehostete Installationen von Herstellerprodukten und Cloud-basierte Dienste. Achten Sie besonders auf Systeme, die sensible betriebliche Daten enthalten, zum Beispiel Kundendaten und Zugangsberechtigungen.
Sobald diese Prüfung abgeschlossen ist, sollten Sie Ihre Aufmerksamkeit auf die externen Mitarbeitenden richten und sicherstellen, dass diese ihre persönlichen Geräte und Router aktualisieren, die ein wichtiges Glied in der Sicherheitskette darstellen. Dies wird wahrscheinlich einen proaktiven, engagierten Ansatz erfordern, da es nicht ausreicht, einfach eine Liste von Anweisungen herauszugeben, da anfällige Router einen potenziellen Zugang zu wichtigen Unternehmensanwendungen und Datenbeständen sind. Sie werden die Unterstützung und Zusammenarbeit ihres gesamten IT-Teams benötigen.
Insgesamt ist es an der Zeit, formelle Massnahmen zur Reaktion auf schwerwiegende Vorfälle in Übereinstimmung mit den organisatorischen Plänen zur Reaktion auf Vorfälle einzuleiten. Dieser Vorfall erfordert die Einbeziehung aller Ebenen des Unternehmens, einschließlich des CEO, des CIO und der gesamten Geschäftsleitung. Stellen Sie sicher, dass Sie die Führungsebene informiert haben und dass diese darauf vorbereitet ist, öffentlich auf Fragen zu antworten. Es ist unwahrscheinlich, dass diese Schwachstelle und die Angriffsmuster, die sie ausnutzen, für einige Zeit abklingen werden, so dass aktive Wachsamkeit mindestens für die nächsten zwölf Monate wichtig sein wird.