Log4j-Sicherheitslücke: Was Gartner nun empfiehlt

Da Sicherheitsvorfälle aufgrund der Java-Schwachstelle Log4j kaum zu vermeiden sind, sollten IT-Verantwortliche nicht nur technische Maßnahmen ergreifen. [...]

Löste am 9. Dezember 2021 Entsetzen in IT-Security-Kreisen aus: die Java-Schwachstelle im Logging-Paket Log4j (c) pixabay.com

Aus Sicht vieler IT-Sicherheitsprofis war der 9.Dezember 2021 ein rabenschwarzer Tag: Im Apache-Logging-Paket Log4j (CVE-2021-44228), der besonders weit verbreiteten und beliebten Java-Logging-Bibliothek, wurde eine besonders schwerwiegende entdeckt. Die sogenannte Log4Shell-Schwachstelle kann von Angreifern besonders einfach ausgenutzt werden, um schädlichen Code auszuführen. Patches gestalten sich dagegen eher kompliziert, was bedeutet, dass dieses Problem ähnlich langlebig wie die Corona-Pandemie sein könnte.

Die Sicherheitsorganisation MITRE stufte die Schwachstelle als kritisch ein und bewertete sie mit einem maximalen CVSS-Schweregrad (CSSV = Common Vulnerability Scoring System) von zehn Punkten. Kurz darauf begannen erste Angreifer, die Log4j-Schwachstelle auszunutzen. Staatliche Cybersicherheits-Institutionen auf der ganzen Welt, darunter das BSI, sahen sich veranlasst, unverzüglich Warnungen herauszugeben, in denen sie Unternehmen aufforderten, ihre Systeme sofort zu patchen.

Log4j-Sicherheitslücke ist weit verbreitet

Jonathan Care, Senior Director Analyst bei Gartner, beobachtet heute schon eine „extrem weite Verbreitung der Log4j-Sicherheitslücke“. Sie betreffe Unternehmensanwendungen genauso wie Embedded Systems und deren Sub-Komponenten. Java-basierte Anwendungen wie Cisco Webex, Minecraft oder FileZilla FTP seien Beispiele für betroffene Programme, aber die Liste sei noch keineswegs vollständig. Die Schwachstelle betreffe sogar die Mars-Mission „Helicopter“, wo Apache Log4j für das Event Logging nutze – eine Behauptung, die die Nasa allerdings energisch bestreitet.

Sicherheits-Profis katalogisieren inzwischen die betroffenen Systeme auf Github. Naturgemäß kann diese Liste allerdings nicht vollständig sein. Sie bietet keine Garantie dafür, dass ungenannte Systeme nicht betroffen sind. Zudem bewertet Gartner die Wahrscheinlichkeit, dass diese Schwachstelle in immer mehr Systemen ausgenutzt werden wird, als hoch. Auch wenn ein bestimmter technischer Stack kein Java verwende, sollten Sicherheitsverantwortliche davon ausgehen, dass wichtige Lieferantensysteme – SaaS-Anbieter, Cloud-Hosting-Anbieter und Webserver-Anbieter – dies täten.

Wird die Schwachstelle nicht behoben, können Angreifer sie nutzen, um Server, Anwendungen und Geräte zu übernehmen und in Unternehmensnetzwerke einzudringen. Es gibt schon etliche Berichte über , Ransomware und andere automatisierte Bedrohungen, die die Sicherheitslücke aktiv ausnutzen.

Log4j-Angriffe sind recht einfach

Dabei ist die Angriffsschwelle besonders niedrig. Der Exploit findet schon vor der statt, das heißt, Angreifer müssen sich nicht erst bei einem betroffenen System angemeldet haben, um einzudringen. Mit anderen Worten: IT-Sicherheits-Profis sollten davon ausgehen, dass ihre Webserver angreifbar sind.

Gartner empfiehlt den Chief Information Security Officers (CISOs), die Identifizierung und Behebung der Log4j-Schwachstelle zu einer absoluten und sofortigen Priorität zu machen. Sie sollten zu Beginn eine detaillierte Prüfung sämtlicher Anwendungen, Websites und Systeme in Ihrem Verantwortungsbereich vornehmen, die mit dem Internet verbunden sind oder als öffentlich zugänglich angesehen werden können. Das betreffe auch Herstellerprodukte und Cloud-basierte Dienste, die beim Anwender gehostet werden. Der Vorrang sollte dabei Systemen gegeben werden, die sensible betriebliche Daten enthalten, zum Beispiel Kundendaten oder Zugangsberechtigungen.

Ist diese Prüfung abgeschlossen, sollten IT-Sicherheitsverantwortliche ihre Aufmerksamkeit auf externe Mitarbeiter richten und sicherstellen, dass diese ihre persönlichen Geräte und Router aktualisieren. Diese stellen ein wichtiges Glied in der Sicherheitskette dar. Hier wird es nicht ausreichen, einfach nur eine Liste mit Anweisungen herauszugeben. Immerhin stellen anfällige Router einen potenziellen Zugang zu wichtigen Unternehmensanwendungen und Datenbeständen dar. Um hier voranzukommen, wird das Sicherheitsteam auf die Zusammenarbeit mit der gesamten IT angewiesen sein.

Gartner empfiehlt ferner, in Abstimmung mit der vorhandenen Incident-Response-Strategie die Reaktion auf schwerwiegende Vorfälle vorzubereiten. Dabei gelte es, alle Ebenen des Unternehmens einzubeziehen – einschließlich des CEO, des CIO und des Vorstands. CISOs sollten die Führungsebene unbedingt im Detail aufklären und darauf vorbereiten, im Zweifel auch in der Öffentlichkeit Rede und Antwort stehen zu müssen. Die Log4j-Schwachstelle und die Angriffsmuster, die sie ausnutzen, werden für eine ganze Weile akut bleiben. Gartner rät dazu, mindestens für die nächsten zwölf Monate besonders wachsam zu sein.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Mehr Artikel

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*