Anzeige

Log4j

Der Staub, den die Log4j-Schwachstellen, auch bekannt als CVE-2021-45046 (DOS), CVE-2021-45105 (DOS) und CVE-2021-44228, aufgewirbelt haben, hat sich etwas gelegt.

Zwei Wochen nach der Meldung am 9. Dezember und etwa einen Monat nach der Entdeckung, ist bekannt, welche Server betroffen sind (nach einer Schätzung fast ein Drittel aller Webserver) und welche Gefahren bestehen.

Allerdings ist jetzt auch klarer, was genau Hacker mit der Sicherheitslücke und ihren Varianten anstellen, und wir bekommen langsam eine Vorstellung davon, wie man sich gegen Log4j-basierte Angriffe verteidigen kann.

Im Fokus der Öffentlichkeit standen in den vergangenen Tagen in erster Linie IT-System, aber auch in OT-Umgebungen (Operational Technology) ist Vorsicht geboten.

Im Folgenden beschreibt Yair Attar, Mitbegründer und CTO von OTORIO, einige konkrete Schritte, die sich sofort umsetzen lassen, um ein OT-Netzwerk zu schützen. Doch zunächst einmal: Wie wirkt sich diese Sicherheitslücke auf OT-Netzwerke im Allgemeinen aus?

Eine der größten Herausforderungen bei Log4j – im Vergleich zu früheren Angriffen auf die Lieferkette wie SolarWinds – besteht darin, dass es zum jetzigen Zeitpunkt schwierig ist, genau zu bestimmen, was betroffen ist.

Die Schwachstelle wurde in einer Bibliothek gefunden, die in vielen Produkten verwendet wird. Das bedeutet, dass sie das Potenzial hat, mehrere Systeme in einem bestimmten Netzwerk zu beeinträchtigen. In den kommenden Tagen und Wochen werden Maschinenbauer, Systemhersteller und Anwendungsanbieter damit beginnen, genau mitzuteilen, welche ihrer Systeme betroffen sind, Patches zur Behebung der Schwachstelle zu veröffentlichen und detaillierte Pläne zur Schadensbegrenzung vorzulegen.

Bis dahin ist es sinnvoll, sofort vier konkrete Schritte vorzunehmen.

Vier Log4j-Schutzmaßnahmen

  1. Schnelle Härtung 
    Blockieren Sie IOCs (Indication of Compromise) in Perimeter-Lösungen wie Firewalls, IDS, IPS, WAFs usw.). Ein Beispiel für Microsofts IoC-Liste finden Sie hier. Es ist wichtig, sicherzustellen, dass Ihre WAFs automatisch aktualisiert und mit Log4j-Erkennungs- und Präventions-Updates geladen werden (dies garantiert keine Exploit-Prävention, da sie auf Verhalten und Signaturen basiert).
     
  2. Identifizierung
    a.Verringern Sie Ihre globale Angriffsfläche durch Scannen mit einem Tool, das automatisch und passiv OT-IoT-IT-Aufklärung betreibt, um Assets zu entdecken, sobald sie von einem potenziellen Angreifer entdeckt werden. 

    b.Verwenden Sie Ihr Asset-/Softwareinventar, um bekannte Anwendungen zu identifizieren, die als anfällig für Log4j veröffentlicht wurden. Es wird empfohlen, hier zu folgen, da es eine gepflegte Liste anfälliger Software enthält. 

    c.Scannen Sie Pakete. Tools, wie das von CERTCC (veröffentlicht von cisa), könnten ebenfalls nützlich sein, sowohl für Linux als auch für Windows, wenn es kein anderes SBOM-Tool gibt.
     
  3. Entschärfung und Patching 
    Aktualisierung auf die neueste Log4j-Version. Wenn ein Patching nicht möglich ist, isolieren Sie das betroffene System so weit wie möglich. Wenn es sich um OT-Anlagen handelt, vergewissern Sie sich, dass die oben genannten Schritte mit dem Hersteller des Systems abgestimmt sind.
     
  4. Überwachung
    a. Erkennung von Ausbeutungsversuchen auf Linux-Hosts durch Durchsuchen der log4j jndi-Protokolle: sudo egrep -i -r '\$\ jndi:(ldap[s]?|rmi|dns):/[^\n]+' /var/log/

    b. Snort-Regeln für IDS/IPS-Systeme

    c. Suchen und Blockieren von IOCs bekannter Angreifer, die Systeme in freier Wildbahn ausnutzen:
    https://s3.amazonaws.com/talos-intelligence-site/production/document_files/files/000/095/702/original/IOCs_20211217.txt?1639778427
    https://s3.amazonaws.com/talos-intelligence-site/production/document_files/files/000/095/701/original/IOCs_20211216.txt?1639690764
    https://s3.amazonaws.com/talos-intelligence-site/production/document_files/files/000/095/700/original/Dec1521IOCs.txt?1639683730

    d. Wenn Sie EDR auf DMZ-Systemen einsetzen, überwachen Sie diese auf verdächtige curl-, wget- oder ähnliche Befehle.

 

Darüber hinaus wird Unternehmen dringend empfohlen, die Apache Log4j Security Vulnerabilities- Webseite auf Aktualisierungen und Hinweise zur Schadensbegrenzung zu überprüfen und eng mit ihren Providern und Lieferanten zusammenzuarbeiten, um alle Aktualisierungen auf den betroffenen Systemen zu überwachen.

Natürlich ist nichts kugelsicher, aber alle oben genannten Maßnahmen können helfen.

www.otorio.com


Artikel zu diesem Thema

Sicherheitslücke
Dez 13, 2021

Große Aufregung um Log4Shell – Was ist passiert und was ist zu tun?

Letzten Freitag war es wieder soweit und nach prominenten Zero-Day-Schwachstellen wir…

Weitere Artikel

Ukraine Hack

Der Angriff und das Defacement von Webseiten der ukrainischen Regierung

Am Freitagmorgen wurden mehrere Webseiten der ukrainischen Regierung und Botschaft angegriffen. Im Folgenden finden Sie einen Kommentar von John Hultquist, Vice President, Intelligence Analysis bei Mandiant, zu diesem Vorfall.
Cyberangriff

Noch vor Pandemie: Cyberangriffe die größte Gefahr für Unternehmen

Manager und Sicherheitsfachleute weltweit sehen in Cyberangriffen die größte Gefahr für Unternehmen. Im am Dienstag veröffentlichten «Risikobarometer» des zur Allianz gehörenden Industrieversicherers AGCS liegen kriminelle Hacker mit ihren Aktivitäten auf…
Windows

Über 3 Millionen unsichere Windows-PCs am Netz

In deutschen Haushalten gibt es rund 48 Millionen Computer, die mit dem Betriebssystem Windows laufen. Die Corona-Pandemie hat dazu geführt, dass Privatnutzer ihre Altgeräte erneuert und sogar mehr Geräte gekauft haben.
Corona Hacker

Dridex-Malware: Geschmacklose Omikron Phishing-Kampagne

„Eine bösartige Phishing-Kampagne verhöhnt die Opfer, nachdem sie ihre Geräte mit Dridex-Malware infiziert“, so Lawrence Abrams von BleepingComputer.
Malware

Malware-Downloads erfolgten im Jahr 2021 meist über Cloud-Apps

Mehr als zwei Drittel der Malware-Downloads im Jahr 2021 stammen von Cloud-Apps. Google Drive wurde dabei als die App mit den meisten Malware-Downloads identifiziert und löst damit Microsoft OneDrive ab.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.