Keine Panik trotz Alarmstufe Rot
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Alarmstufe Rot ausgerufen und auch das Schweizer Cybersicherheitszentrum hat dringende Empfehlungen herausgegeben. Sogar Massenmedien haben bereits über die Schwachstelle berichtet: log4j, das weit verbreitete Logging-Framework für Java, weist eine kritische Sicherheitslücke auf, die bereits aktiv ausgenutzt wird. Ein Grossteil aller in Java geschriebenen Anwendungen und APIs sind potentiell gefährdet. Java’s Erfolgsfaktor „Write once, run everywhere“ wird nun zum Bumerang.
Das Problem ist aus zwei Gründen gravierend: Erstens ist Log4j ein weit verbreitetes Logging-Framework für Java — so populär, dass es in diverse andere Programmiersprachen übersetzt wurde. Weltweit dürften deshalb Millionen von Systemen verwundbar sein, auch prominente Hersteller wie Google, Apple oder Tesla sind betroffen. Und zweitens lässt sich mit wenig Aufwand viel Schaden anrichten: Gefahr besteht dann, wenn Log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren. Mit einer einfachen Zeichenkette lässt sich Log4j dazu bewegen, zusätzlichen Programmcode von einem Server im Internet nachzuladen. Ein Angreifer kann also beliebigen Schadcode injizieren und so Firmen von innen angreifen.
Application Security Testing reicht nicht aus
Immer mehr Entwickler prüfen ihren eigenen Code und fremde Bibliotheken wie Log4j automatisiert auf Schwachstellen. Das ist ein grosser Schritt vorwärts für die Anwendungssicherheit, weil es das Problem an der Wurzel anpackt. Es ist allerdings trügerisch, sich auf eine Datenbank von bekannten Schwachstellen zu verlassen. Application Security Testing hilft zwar bei der Erkennung einer möglichen Schwachstelle, schützt aber nicht davor. Wenn ein solches Tool Alarm schlägt, dauert es oft Tage oder Wochen, bis die Korrektur ausgerollten werden kann. Manchmal ist es gar unmöglich, alle betroffenen Systeme zu patchen.
Verschaffen Sie sich Zeit mit Virtual Patching
Eine saubere Lösung benötigt Zeit. Natürlich sind die Entwickler bereits daran, auf die neuste Log4j-Version umzustellen. Das grössere Problem dürfte jedoch sein, die betroffenen Systeme erst mal zu identifizieren. Je nach Softwarelösung gibt es zusätzliche Ansätze, die Schwachstelle zu mitigieren, diese müssen aber sorgfältig auf Ihre Effektivität getestet werden. So oder so dürften noch mehrere Wochen vergehen, bis alle Systeme geschützt sind.
Jetzt in Panik auszubrechen wäre aber kontraproduktiv. Denn es gibt eine wirksame Sofortmassnahme, um Zeit zu gewinnen: Virtual Patching. Eine vorgeschaltete Application Firewall (WAF) bzw. ein API Security Gateway erkennt die gefährlichen Inhalte und blockiert sie, noch bevor sie auf das verwundbare System treffen. Damit hat man die Wahrscheinlichkeit eines erfolgreichen Angriffs stark reduziert und die IT kann in Ruhe die betroffenen Systeme patchen. Auch das Nationale Cyber Security Center empfiehlt, die Sicherheitsregeln einer WAF falls notwendig zu aktualisieren.
Quelle: govcert.ch
Gehärtete Sicherheitsregeln dank Bug Bounties
Die Herausforderung einer WAF besteht darin, nicht nur die offensichtlichen Formen eines Angriffs zu erkennen, sondern eine ganze Klasse von komplexen Abwandlungen. Das setzt voraus, dass die Filterregeln einer WAF kontinuierlich weiterentwickelt und gehärtet werden. Bei Airlock Gateway setzen wir dafür auf ein Bug Bounty Programm. Hacker aus aller Welt werden dafür bezahlt, die Filterregeln von Airlock zu umgehen. Wer es schafft, die Schutzmechanismen auszutricksen, erhält eine attraktive Belohnung (Bounty). Einer der Hacker machte uns in diesem Zuge ein Kompliment: Im Gegensatz zu anderen Produkten habe er sich bei Airlock die Zähne ausgebissen.
Tägliches Brot für Sicherheitsprofis
Die Airlock Engineers sind es sich gewohnt, dass regelmässig neue Sicherheitslücken auftauchen, auch wenn viele davon in der Presse keine grosse Beachtung finden. Nur schon die heiklen Schwachstellen in der Transportverschlüsselung TLS füllen mehrere Bildschirmseiten. Es ist Teil unseres Jobs, auf neue Bedrohungen zu reagieren und künftige Angriffsszenarien so weit wie möglich zu antizipieren. Und so haben wir auch diese Schwachstelle analysiert und alle nötigen Anpassungen in Airlock vorgenommen.
Fazit
- Die Anwendungssicherheit sollte in allen Phasen des Software-Lebenszyklus adressiert werden: Schon in der Entwicklungsphase kann Application Security Testing potentielle Probleme aufzeigen. Und vom Testing bis zum Betrieb sorgen WAFs und API Gateways für einen zusätzlichen Schutz zur Laufzeit.
- Professionelle Web Application Firewalls und API Gateways können sogar Angriffe abwehren, die noch nicht bekannt sind. Voraussetzung ist natürlich, dass die Schutzmechanismen von Beginn weg aktiv sind.
- Airlock hat schon vor dieser Schwachstelle geschützt, bevor sie bekannt wurde. Andere Hersteller haben Ihre Sicherheitsregeln erst nach Bekanntwerden der Schwachstelle angepasst, um die Backend-Anwendungen ausreichend zu schützen.
- WAF-Regeln müssen von Sicherheitsprofis entwickelt und kontinuierlich überprüft werden, damit die Schutzmechanismen von erfahrenen Angreifern nicht umgangen werden können. Dafür sorgt zum Beispiel unser Airlock Bounty Programm, in dem Hacker aus aller Welt versuchen, Lücken im Schutzschild Airlock zu finden.
Ist Airlock selbst verwundbar?
- Airlock Gateway und Airlock Microgateway können nach heutigen Wissensstand* von aussen nicht angegriffen werden. Für den Schutz der internen Schnittstellen (Monitoring, Management GUI etc) wurde trotzdem ein Hotfix publiziert.
- Alle Backend-Applikationen sind seit Airlock Gateway 7.6 geschützt, also bereits vor Bekanntwerden der Schwachstelle. Für ältere Versionen von Airlock Gateway wurde ein Update der Sicherheitsregeln zur Verfügung gestellt.
- Airlock IAM ist von der Schwachstelle betroffen und wurde ebenfalls aktualisiert. Airlock IAM wird gemäss unserer Empfehlung in der Regel hinter Airlock Gateway betrieben und ist durch dessen Filterregeln geschützt, was die Priorität für die Aktualisierung etwas reduziert.
- Weitere technische Infos und Hotfixes sind verfügbar auf der Techzone: https://techzone.ergon.ch/CVE-2021-44228
*Dieser Blog-Artikel basiert auf dem Stand vom 13.12.2021.
Firma zum Thema
Fachartikel
Kritische Infrastrukturen (KRITIS) im Gesundheitswesen
Warum Unternehmensleiter die IT-Sicherheitsstrategie in ihren Geschäftsplan integrieren müssen
Fünf Gründe, warum sich die Ransomware-Situation seit WannaCry verändert hat
Digital Identity – Die Identität der Zukunft
Mit verstärkter Software-Architektur das Sicherheitsniveau der Arbeitsplätze erhöhen
Studien
Schwachstellen in Programmierschnittstellen kosten Unternehmen jährlich bis zu 75 Milliarden Dollar
Studie: Multi-Cloud-Modelle kurbeln unternehmensweite Verschlüsselungsstrategien an
Studie: Die Einführung von künstlicher Intelligenz in Europa nimmt weiter zu, während die Governance hinterherhinkt
Studie: Unterstützt Ihr Datenmanagement die Widerstandsfähigkeit Ihres Unternehmens – oder steht es ihr eher im Weg?
Ergebnisse des Cloud-Monitor 2022 von KPMG: Cloud-Computing bietet mehr als nur Kosteneffizienz
Whitepaper
Hackergruppe Unit 221B bestätigt Genauigkeit von Deep Instincts Abwehr von Zero-Day- (>99%) und False-Positive-Bedrohungen (<0.1%)
Betrug durch Kontoübernahmen nimmt um 58 Prozent zu – „Jetzt kaufen, später zahlen“ boomt
Statusreport 2022: Rezession und Ukraine-Krieg beeinflussen IT-Budgets
Verfassungsschutzbericht 2021 vorgestellt: Steigende Zahl von Extremisten in fast allen Phänomenbereichen
Leitfaden: Angreifer zielen auf die Cloud und auf Ihre Schwachpunkte
Unter4Ohren
Kritische Infrastrukturen (KRITIS) im Healthcare Sector: Über die Notwendigkeit einer Transformation
Mit verstärkter Software-Architektur das Sicherheitsniveau der Arbeitsplätze erhöhen
4 Jahre DSGVO – Privacy Engineers gesucht
Wie intelligent ist Threat Intelligence?
