Gesponsert
Share
Beitragsbild zu Log4Shell: Was jetzt zählt

Log4Shell: Was jetzt zählt

Keine Panik trotz Alarmstufe Rot

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Alarmstufe Rot ausgerufen und auch das Schweizer Cybersicherheitszentrum hat dringende Empfehlungen herausgegeben. Sogar Massenmedien haben bereits über die Schwachstelle berichtet: log4j, das weit verbreitete Logging-Framework für Java, weist eine kritische Sicherheitslücke auf, die bereits aktiv ausgenutzt wird. Ein Grossteil aller in Java geschriebenen Anwendungen und APIs sind potentiell gefährdet. Java’s Erfolgsfaktor „Write once, run everywhere“ wird nun zum Bumerang.

Das Problem ist aus zwei Gründen gravierend: Erstens ist Log4j ein weit verbreitetes Logging-Framework für Java — so populär, dass es in diverse andere Programmiersprachen übersetzt wurde. Weltweit dürften deshalb Millionen von Systemen verwundbar sein, auch prominente Hersteller wie Google, Apple oder Tesla sind betroffen. Und zweitens lässt sich mit wenig Aufwand viel Schaden anrichten: Gefahr besteht dann, wenn Log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren. Mit einer einfachen Zeichenkette lässt sich Log4j dazu bewegen, zusätzlichen Programmcode von einem Server im Internet nachzuladen. Ein Angreifer kann also beliebigen Schadcode injizieren und so Firmen von innen angreifen.

Application Security Testing reicht nicht aus

Immer mehr Entwickler prüfen ihren eigenen Code und fremde Bibliotheken wie Log4j automatisiert auf Schwachstellen. Das ist ein grosser Schritt vorwärts für die Anwendungssicherheit, weil es das Problem an der Wurzel anpackt. Es ist allerdings trügerisch, sich auf eine Datenbank von bekannten Schwachstellen zu verlassen. Application Security Testing hilft zwar bei der Erkennung einer möglichen Schwachstelle, schützt aber nicht davor. Wenn ein solches Tool Alarm schlägt, dauert es oft Tage oder Wochen, bis die Korrektur ausgerollten werden kann. Manchmal ist es gar unmöglich, alle betroffenen Systeme zu patchen.

Verschaffen Sie sich Zeit mit Virtual Patching

Eine saubere Lösung benötigt Zeit. Natürlich sind die Entwickler bereits daran, auf die neuste Log4j-Version umzustellen. Das grössere Problem dürfte jedoch sein, die betroffenen Systeme erst mal zu identifizieren. Je nach Softwarelösung gibt es zusätzliche Ansätze, die Schwachstelle zu mitigieren, diese müssen aber sorgfältig auf Ihre Effektivität getestet werden. So oder so dürften noch mehrere Wochen vergehen, bis alle Systeme geschützt sind.

Jetzt in Panik auszubrechen wäre aber kontraproduktiv. Denn es gibt eine wirksame Sofortmassnahme, um Zeit zu gewinnen: Virtual Patching. Eine vorgeschaltete Application Firewall (WAF) bzw. ein API Security Gateway erkennt die gefährlichen Inhalte und blockiert sie, noch bevor sie auf das verwundbare System treffen. Damit hat man die Wahrscheinlichkeit eines erfolgreichen Angriffs stark reduziert und die IT kann in Ruhe die betroffenen Systeme patchen. Auch das Nationale Cyber Security Center empfiehlt, die Sicherheitsregeln einer WAF falls notwendig zu aktualisieren.

 

Quelle: govcert.ch

Gehärtete Sicherheitsregeln dank Bug Bounties

Die Herausforderung einer WAF besteht darin, nicht nur die offensichtlichen Formen eines Angriffs zu erkennen, sondern eine ganze Klasse von komplexen Abwandlungen. Das setzt voraus, dass die Filterregeln einer WAF kontinuierlich weiterentwickelt und gehärtet werden. Bei Airlock Gateway setzen wir dafür auf ein Bug Bounty Programm. Hacker aus aller Welt werden dafür bezahlt, die Filterregeln von Airlock zu umgehen. Wer es schafft, die Schutzmechanismen auszutricksen, erhält eine attraktive Belohnung (Bounty). Einer der Hacker machte uns in diesem Zuge ein Kompliment: Im Gegensatz zu anderen Produkten habe er sich bei Airlock die Zähne ausgebissen.

Tägliches Brot für Sicherheitsprofis

Die Airlock Engineers sind es sich gewohnt, dass regelmässig neue Sicherheitslücken auftauchen, auch wenn viele davon in der Presse keine grosse Beachtung finden. Nur schon die heiklen Schwachstellen in der Transportverschlüsselung TLS füllen mehrere Bildschirmseiten. Es ist Teil unseres Jobs, auf neue Bedrohungen zu reagieren und künftige Angriffsszenarien so weit wie möglich zu antizipieren. Und so haben wir auch diese Schwachstelle analysiert und alle nötigen Anpassungen in Airlock vorgenommen.

Fazit

  • Die Anwendungssicherheit sollte in allen Phasen des Software-Lebenszyklus adressiert werden: Schon in der Entwicklungsphase kann Application Security Testing potentielle Probleme aufzeigen. Und vom Testing bis zum Betrieb sorgen WAFs und API Gateways für einen zusätzlichen Schutz zur Laufzeit.
  • Professionelle Web Application Firewalls und API Gateways können sogar Angriffe abwehren, die noch nicht bekannt sind. Voraussetzung ist natürlich, dass die Schutzmechanismen von Beginn weg aktiv sind.
  • Airlock hat schon vor dieser Schwachstelle geschützt, bevor sie bekannt wurde. Andere Hersteller haben Ihre Sicherheitsregeln erst nach Bekanntwerden der Schwachstelle angepasst, um die Backend-Anwendungen ausreichend zu schützen.
  • WAF-Regeln müssen von Sicherheitsprofis entwickelt und kontinuierlich überprüft werden, damit die Schutzmechanismen von erfahrenen Angreifern nicht umgangen werden können. Dafür sorgt zum Beispiel unser Airlock Bounty Programm, in dem Hacker aus aller Welt versuchen, Lücken im Schutzschild Airlock zu finden.

Ist Airlock selbst verwundbar?

  • Airlock Gateway und Airlock Microgateway können nach heutigen Wissensstand* von aussen nicht angegriffen werden. Für den Schutz der internen Schnittstellen (Monitoring, Management GUI etc) wurde trotzdem ein Hotfix publiziert.
  • Alle Backend-Applikationen sind seit Airlock Gateway 7.6 geschützt, also bereits vor Bekanntwerden der Schwachstelle. Für ältere Versionen von Airlock Gateway wurde ein Update der Sicherheitsregeln zur Verfügung gestellt.
  • Airlock IAM ist von der Schwachstelle betroffen und wurde ebenfalls aktualisiert. Airlock IAM wird gemäss unserer Empfehlung in der Regel hinter Airlock Gateway betrieben und ist durch dessen Filterregeln geschützt, was die Priorität für die Aktualisierung etwas reduziert.
  • Weitere technische Infos und Hotfixes sind verfügbar auf der Techzone: https://techzone.ergon.ch/CVE-2021-44228

*Dieser Blog-Artikel basiert auf dem Stand vom 13.12.2021.

Quelle: AIRLOCK Blog

Firma zum Thema

airlock

Fachartikel

Featured image for “Suchmaschinenoptimierung: Welche Rolle spielt eine SSL-Verschlüsselung im SEO?”

Suchmaschinenoptimierung: Welche Rolle spielt eine SSL-Verschlüsselung im SEO?
Featured image for “Wachsende Angriffsfläche in vernetzten Industrieumgebungen”

Wachsende Angriffsfläche in vernetzten Industrieumgebungen
Featured image for “Gefährliche Sandkasten-Spiele: Warum Sandboxing nicht mehr ausreicht”

Gefährliche Sandkasten-Spiele: Warum Sandboxing nicht mehr ausreicht
Featured image for “Deep Learning: Das Versprechen der Prävention ist eingelöst (?!)”

Deep Learning: Das Versprechen der Prävention ist eingelöst (?!)
Featured image for “Der Siegeszug von Malware-as-a-Service”

Der Siegeszug von Malware-as-a-Service

Studien

Featured image for “DLA Piper Studie zu DSGVO-Bußgeldern und Datenschutzverletzungen 2022”

DLA Piper Studie zu DSGVO-Bußgeldern und Datenschutzverletzungen 2022
Featured image for “Wachsende Angriffsfläche in vernetzten Industrieumgebungen”

Wachsende Angriffsfläche in vernetzten Industrieumgebungen
Featured image for “Allianz Risk Barometer 2022: Cyber weltweites Top-Risiko für Unternehmen; Sorge vor Naturgefahren und Klimawandel in Deutschland”

Allianz Risk Barometer 2022: Cyber weltweites Top-Risiko für Unternehmen; Sorge vor Naturgefahren und Klimawandel in Deutschland
Featured image for “Wer sich mit der Blockchain beschäftigt, hat hohe Erwartungen”

Wer sich mit der Blockchain beschäftigt, hat hohe Erwartungen
Featured image for “Studie zeigt, dass deutsche Führungskräfte die Bedrohung durch Ransomware unterschätzen und mehr Beratung durch Cybersicherheitsexperten benötigen”

Studie zeigt, dass deutsche Führungskräfte die Bedrohung durch Ransomware unterschätzen und mehr Beratung durch Cybersicherheitsexperten benötigen

Whitepaper

Featured image for “2021 Managed Services Report”

2021 Managed Services Report
Featured image for “Erstes Vorgehensmodell für KI-Engineering veröffentlicht”

Erstes Vorgehensmodell für KI-Engineering veröffentlicht
Featured image for “Neue CrowdStrike-Umfrage zeigt sinkendes Vertrauen in traditionelle IT-Anbieter wie Microsoft”

Neue CrowdStrike-Umfrage zeigt sinkendes Vertrauen in traditionelle IT-Anbieter wie Microsoft
Featured image for “Radware mit Teil 2 des Hacker’s Almanac”

Radware mit Teil 2 des Hacker’s Almanac
Featured image for “Ein erprobtes Sicherheitskonzept für Cloud Workloads”

Ein erprobtes Sicherheitskonzept für Cloud Workloads

Unter4Ohren

Featured image for “Deep-Learning: Die nächste Evolutionsstufe in der Cybersecurity-Abwehr?”

Deep-Learning: Die nächste Evolutionsstufe in der Cybersecurity-Abwehr?
Featured image for “Cybersecurity Booster für Krankenhäuser”

Cybersecurity Booster für Krankenhäuser
Featured image for “X-PHY – die weltweit erste SSD mit künstlicher Intelligenz zur physischen Bekämpfung von Cyberangriffen”

X-PHY – die weltweit erste SSD mit künstlicher Intelligenz zur physischen Bekämpfung von Cyberangriffen
Featured image for “„Sicher war gestern“ – 64 Prozent der geschäftskritischen Systeme wurden in den vergangenen beiden Jahren angegriffen”

„Sicher war gestern“ – 64 Prozent der geschäftskritischen Systeme wurden in den vergangenen beiden Jahren angegriffen
Featured image for “Wie wichtig wird Zero Trust und User Based Security in der Zukunft werden?”

Wie wichtig wird Zero Trust und User Based Security in der Zukunft werden?