Thought Leadership
Der Staub, den die Log4j-Schwachstellen, auch bekannt als CVE-2021-45046 (DOS), CVE-2021-45105 (DOS) und CVE-2021-44228, aufgewirbelt haben, hat sich etwas gelegt.
Zwei Wochen nach der Meldung am 9. Dezember und etwa einen Monat nach der Entdeckung, ist bekannt, welche Server betroffen sind (nach einer Schätzung fast ein Drittel aller Webserver) und welche Gefahren bestehen.
Allerdings ist jetzt auch klarer, was genau Hacker mit der Sicherheitslücke und ihren Varianten anstellen, und wir bekommen langsam eine Vorstellung davon, wie man sich gegen Log4j-basierte Angriffe verteidigen kann.
Im Fokus der Öffentlichkeit standen in den vergangenen Tagen in erster Linie IT-System, aber auch in OT-Umgebungen (Operational Technology) ist Vorsicht geboten.
Im Folgenden beschreibt Yair Attar, Mitbegründer und CTO von OTORIO, einige konkrete Schritte, die sich sofort umsetzen lassen, um ein OT-Netzwerk zu schützen. Doch zunächst einmal: Wie wirkt sich diese Sicherheitslücke auf OT-Netzwerke im Allgemeinen aus?
Eine der größten Herausforderungen bei Log4j – im Vergleich zu früheren Angriffen auf die Lieferkette wie SolarWinds – besteht darin, dass es zum jetzigen Zeitpunkt schwierig ist, genau zu bestimmen, was betroffen ist.
Die Schwachstelle wurde in einer Bibliothek gefunden, die in vielen Produkten verwendet wird. Das bedeutet, dass sie das Potenzial hat, mehrere Systeme in einem bestimmten Netzwerk zu beeinträchtigen. In den kommenden Tagen und Wochen werden Maschinenbauer, Systemhersteller und Anwendungsanbieter damit beginnen, genau mitzuteilen, welche ihrer Systeme betroffen sind, Patches zur Behebung der Schwachstelle zu veröffentlichen und detaillierte Pläne zur Schadensbegrenzung vorzulegen.
Bis dahin ist es sinnvoll, sofort vier konkrete Schritte vorzunehmen.
Vier Log4j-Schutzmaßnahmen
- Schnelle Härtung
Blockieren Sie IOCs (Indication of Compromise) in Perimeter-Lösungen wie Firewalls, IDS, IPS, WAFs usw.). Ein Beispiel für Microsofts IoC-Liste finden Sie hier. Es ist wichtig, sicherzustellen, dass Ihre WAFs automatisch aktualisiert und mit Log4j-Erkennungs- und Präventions-Updates geladen werden (dies garantiert keine Exploit-Prävention, da sie auf Verhalten und Signaturen basiert).
- Identifizierung
a.Verringern Sie Ihre globale Angriffsfläche durch Scannen mit einem Tool, das automatisch und passiv OT-IoT-IT-Aufklärung betreibt, um Assets zu entdecken, sobald sie von einem potenziellen Angreifer entdeckt werden.b.Verwenden Sie Ihr Asset-/Softwareinventar, um bekannte Anwendungen zu identifizieren, die als anfällig für Log4j veröffentlicht wurden. Es wird empfohlen, hier zu folgen, da es eine gepflegte Liste anfälliger Software enthält.
c.Scannen Sie Pakete. Tools, wie das von CERTCC (veröffentlicht von cisa), könnten ebenfalls nützlich sein, sowohl für Linux als auch für Windows, wenn es kein anderes SBOM-Tool gibt.
- Entschärfung und Patching
Aktualisierung auf die neueste Log4j-Version. Wenn ein Patching nicht möglich ist, isolieren Sie das betroffene System so weit wie möglich. Wenn es sich um OT-Anlagen handelt, vergewissern Sie sich, dass die oben genannten Schritte mit dem Hersteller des Systems abgestimmt sind.
- Überwachung
a. Erkennung von Ausbeutungsversuchen auf Linux-Hosts durch Durchsuchen der log4j jndi-Protokolle: sudo egrep -i -r ‘\$\ jndi:(ldap[s]?|rmi|dns):/[^\n]+’ /var/log/ b. Snort-Regeln für IDS/IPS-Systeme
c. Suchen und Blockieren von IOCs bekannter Angreifer, die Systeme in freier Wildbahn ausnutzen:
https://s3.amazonaws.com/talos-intelligence-site/ production/document_files/ files/000/095/702/original/ IOCs_20211217.txt?1639778427
https://s3.amazonaws.com/talos-intelligence-site/ production/document_files/ files/000/095/701/original/ IOCs_20211216.txt?1639690764
https://s3.amazonaws.com/talos-intelligence-site/ production/document_files/ files/000/095/700/original/ Dec1521IOCs.txt?1639683730 d. Wenn Sie EDR auf DMZ-Systemen einsetzen, überwachen Sie diese auf verdächtige curl-, wget- oder ähnliche Befehle.
Darüber hinaus wird Unternehmen dringend empfohlen, die Apache Log4j Security Vulnerabilities- Webseite auf Aktualisierungen und Hinweise zur Schadensbegrenzung zu überprüfen und eng mit ihren Providern und Lieferanten zusammenzuarbeiten, um alle Aktualisierungen auf den betroffenen Systemen zu überwachen.
Natürlich ist nichts kugelsicher, aber alle oben genannten Maßnahmen können helfen.
www.otorio.com
