Warnstufe Rot: So reagierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Wochenende auf das Bekanntwerden der Schwachstelle mit dem Namen Log4j, die seit einiger Zeit zahlreiche Server im Netz bedroht. Das BSI erklärte in seiner Stellungnahme, dass es weltweit Angriffsversuche gibt, die zum Teil auch Erfolg hatten. Das Ausmaß der Bedrohungslage, so das BSI weiter, sei aktuell nicht abschließend feststellbar.
Was ist Log4j?
Log4j ist eine Logging-Bibliothek. Ihre Aufgabe ist es, im Server-Betrieb auftretende Ereignisse in einer Datei (Log) festzuhalten. Diese Daten können dann beispielsweise zu einem späteren Zeitpunkt für eine Fehleranalyse ausgewertet werden. Die am Wochenende entdeckte Schwachstelle tritt zwar nur in bestimmten Versionen von Log4j auf. Allerdings weiß wohl derzeit niemand so genau, wo diese überall im Einsatz sind.
Was macht die Log4j-Schwachstelle so gefährlich?
In kurzen Worten erklärt, bietet die Schwachstelle Hacker*innen die Möglichkeit, sich „Hintertüren“ in die IT-Landschaft der betroffenen Unternehmen und Organisationen einzubauen. Sind diese Hintertüren einmal eingerichtet, stehen sie „offen wie ein Scheunentor“ und bieten den Hacker*innen dann eine perfekte Möglichkeit, Schad-Codes oder Schad-Softwares in das System einzuschleusen. Dies kann heute geschehen, morgen – oder erst in ein paar Wochen.
Auf der anderen Seite kann es natürlich sein, dass ein Hacker bereits in das IT-System eingedrungen ist und schon wieder damit begonnen hat, seine Spuren in den Log-Dateien zu verwischen.
Die Lösung: Hintertüren schließen, verdächtiges Verhalten erkennen
Bereits seit dem Wochenende arbeiten IT-Sicherheitsexpert*innen mit Hochdruck daran, die Sicherheitslücke zu schließen. Entsprechende Updates stehen zur Verfügung, müssen nun aber natürlich erst auf den betroffenen Servern installiert werden.
Um für zukünftige Vorfälle dieser Art gerüstet zu sein sowie sicherzustellen, dass dieser Vorfall keine nachhaltigen Schäden verursacht, haben wir bei amasol einen umfassenden SecOps-Lösungsansatz entwickelt. Ausgangspunkt ist die Erkenntnis, dass der Fokus auf das Thema „Logging“ zwar ein zentraler Security-Ansatzpunkt ist, allerdings nicht mehr die einzige Stütze einer Security-Strategie sein darf.
Stattdessen wird Reaktionsfähigkeit in Echtzeit benötigt, in Kombination mit einem langfristigen Blick in das IT- bzw. User*innen-Verhalten der Vergangenheit. Denn nur so ist es möglich, zu erkennen, ob sich ein Angreifer oder eine Angreiferin bereits im Netzwerk bewegt.
Darüber hinaus bieten amasol-Herstellerpartner Werkzeuge, mit denen IT-Security-Verantwortliche ihren Blick für jede verdächtige Bewegung im Netz schärfen können. So können beispielsweise die Transaction Records von ExtraHop Reveal(x) nach JNDI-Aufrufen durchsucht werden, die Ausgangspunkt für die Untersuchung potenzieller Exploit-Versuche sein können. Werden JNDI-Aufrufe zu externen Endpoints beobachtet, sollten die externen IPs sofort blockiert werden. Ist die Verwendung von JNDI-Aufrufen dagegen ein erwartetes Verhalten, ist unter Umständen eine weitere Untersuchung erforderlich, um festzustellen, ob die Aktivität bösartig oder harmlos ist.
Wie es in die Praxis konkret funktioniert, erfahren Sie in diesem Video.
Für weitere Informationen wenden Sie sich bitte an Fabian Fink, SecOps Sales Specialist