Kritische Lücke in Log4j

Eine Sicherheitslücke im Java-Logging log4j sorgt aktuell für Schlagzeilen und eine Menge Verunsicherung in vielen IT-Abteilungen unserer Kunden. Die Lücke befindet sich in einer beliebten Java-Bibliothek und ist daher sehr verbreitet und leider auch trivial ausnutzbar. Im Hinblick auf die wachsende Bedrohung hat das BSI bereits Samstagnacht die Warnstufe Rot ausgerufen!

Eine Liste der aktuellen Meldungen unserer Hersteller sowie weiterführender Nachrichten finden Sie am Ende dieses Artikels.

Welche Schutzmaßnahmen können Sie treffen?

Wie so oft ist es nicht möglich, sich zu 100 Prozent gegen solche Schwachstellen oder daraus entstehende Angriffe zu schützen. Das Ziel aller Aktivitäten muss daher die Verringerung der Angriffsfläche und der Angriffswahrscheinlichkeit darstellen!

Der Angriffsvektor ist für extern zugängliche Systeme um ein Vielfaches höher, als wenn der Service nur im internen Netz erreichbar ist. Es empfiehlt sich daher, zuerst die extern erreichbaren Systeme wie Firewalls, Frontend-Lösungen, Portale, Gateways etc. zu behandeln und anschließend alle internen Systeme.

Folgende Aktivitäten sollten IT-Teams nun zeitnah umsetzen:

1. Empfehlungen der Hersteller umsetzen
   1. Setzen von Variablen innerhalb der Java-Konfiguration, um die Lookup-Funktion zu unterbinden und Neustart der jeweiligen Applikation
   2. Entfernen der kompletten Java-Klasse bei älteren Java-Versionen
2. Dienste & Services testen
   1. Falls es keine Hinweise der Hersteller auf die Anfälligkeit Ihrer Lösung in Bezug auf Log4j gibt, muss zeitnah selbst getestet werden.
   2. Tools wie log4j-detector oder Dienste wie CanaryTokens können hier Unterstützung leisten.
3. Dienste abschotten bzw. zusätzlich absichern
   1. Zugangsbeschränkungen erzeugen
   2. Netzwerke segmentieren
   3. Rechte reduzieren (least privilege)
   4. Ausgehende Verbindungen einschränken
   5. Ausführbare Programme beschränken
4. Blockieren und Filtern
   1. Cloud-Services wie Cloudflare können als vorgelagerte WAF (Web Application Firewall) Anfragen erkennen und unterbinden, bieten aber keinen dauerhaften Schutz bei starker oder schneller Variierung der Angriffspattern!
   2. IT-Security-Lösungen wie Enginsight können bei der Analyse der Schwachstelle oder der Abwehr von Angriffen unterstützen
   3. Aktuell finden die meisten „Fingerprinting“-Aktivitäten, also das Scannen von Systemen zum Auffinden der Schwachstelle, aus dem TOR-Netzwerk statt. Das Sperren aller TOR-Exit-Nodes auf der Firewall ist daher eine valide Option. Inwieweit die finalen Angriffe dann ebenfalls aus dem TOR-Netzwerk stattfinden, bleibt aber dahingestellt!
5. Monitoring intensivieren
   1. Vorhandene Monitoring-Systeme und Alarme intensiver betrachten und auswerten
   2. Monitoring und Alarme anpassen, um ggf. verdächtige Zeichenketten in Logs besser zu erkennen und schneller reagieren zu können

Fazit

Die Log4j-Schwachstelle ist kein einfaches Problem, das sich durch das Einspielen eines Updates auf einem dedizierten System lösen lässt. Es ist davon auszugehen, dass die IT-Branche Wochen oder Monate damit beschäftigt sein wird, die betroffenen Systeme zu finden und das Problem Schritt für Schritt bzw. System für System einzudämmen.

Die Experten der Concat AG unterstützen Sie gerne bei der Absicherung Ihrer Systeme: bei der akuten Umsetzung von Herstellerempfehlungen, beim Testen von Applikationen und bei der Einrichtung von Monitoring-Systemen. Als Partner von Cloudflare und Enginsight haben wir zudem die Möglichkeit und das Know-how, diese Lösungen als zusätzlichen Schutz zeitnah in Ihrem Unternehmen zu etablieren.