Kommentar

Log4Shell – Gegenwehr durch Schwarmintelligenz ethischer Hacker

Mit Bekanntwerden der Schwachstelle Log4Shell begann ein Wettlauf: Während IT-Sicherheitsexperten mit Hochdruck am Schutz ihrer Systeme arbeiten, stehen Angreifer in den Startlöchern, um die Sicherheitslücke auszunutzen.

Mit ethischen Hackern von Bug-Bounty-Plattformen wie YesWeHack sind Unternehmen den Angreifern einen Schritt voraus. Phil Leatham, Senior Account Executive für YesWeHack Deutschland, erklärt, wie die sogenannten Hunter vorgehen, um Unternehmen bei diesem Wettlauf zu unterstützen:

Anzeige

„Log4Shell wird mit 10 von 10 Punkten auf der CVSS-Skala bereits als die kritischste Sicherheitslücke des letzten Jahrzehnts eingestuft. Sie ist in Cloud-Servern und Unternehmenssoftware allgegenwärtig. Und mit CVE-2021-45046 ist bereits eine zweite Log4j-Schwachstelle bekannt. Jetzt muss jedes einzelne Unternehmen feststellen, wo seine Systeme betroffen sind – und das schnellstmöglich, bevor Hacker die Sicherheitslücken ausnutzen. Um das zu schaffen, ist Schwarmintelligenz gefordert.

Die Community aus ethischen Hackern hat umgehend zahlreiche Informationen, Techniken und Tools ausgetauscht, die beim Schutz vor dieser Zero-Day-Schwachstelle helfen. Wir von YesWeHack haben bereits am 10. Dezember, dem Tag des Bekanntwerdens der Schwachstelle, zusammen mit einigen unserer Kunden die Log4j-Klausel in deren Bug-Bounty-Programmen integriert. Für Remote Code Execution (RCE) wurden höchste Belohnungen ausgeschrieben. Über 14 Meldungen zu Sicherheitslücken sind daraufhin eingegangen. In den nachfolgenden Tagen wurde die Klausel auf Wunsch weiterer Kunden in deren Programme aufgenommen, was bisher zu insgesamt 140 Meldungen führte. Mit Hilfe des VPN von YesWeHack ist es möglich, die Aktivitäten der Hunter so zu isolieren, dass sie keinen zusätzlichen Alarm im Security Operations Center des Unternehmens auslösen.

 Die Community der ethischen Hacker hat Unternehmen bei diesem Wettlauf gegen die Zeit mit folgenden Maßnahmen unterstützt:

  • Identifizierung verwundbarer Komponenten, wenn interne Ressourcen nicht das gesamte Spektrum abdecken können.
     
  • Ermittlung, wie weit die Ausnutzung einer verwundbaren Komponente in einem bestimmten technischen Kontext gehen könnte, indem ein vollständiger und spezifischer Proof-of-Concept bereitgestellt wird.
     
  • Doppelte Überprüfung, ob ein vermeintlich bereits gepatchter Bereich nicht doch noch Schwachstellen aufweist oder ob die angewandten Sicherheitsmaßnahmen nicht umgangen werden können.

Letztendlich hat Log4Shell eine tiefgreifendere Reflexion und Diskussion darüber angestoßen, wie die Community längerfristig bei Zero-Day-Schwachstellen helfen kann. Zweifellos wird das zu einer systematischeren und besser strukturierten Zusammenarbeit bei diesem wichtigen Thema führen.”

Phil Leatham

YesWeHack Deutschland -

Senior Account Executive

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.