Letzte Woche hat uns die Log4j-Schwachstelle in der Java Logging Bibliothek ordentlich in Atem gehalten. Wir haben bereits darüber informiert auf unserem Blog. Prioritär ging es darum zu erkennen, ob man vom Internet her verwundbar ist. Eine Vielzahl von Kunden hat uns diesbezüglich um Unterstützung angefragt und die Konfigurationen sowie Interpretationen der Berichte wird demnächst abgeschlossen sein.
Wenn nicht bereits erledigt, sollten nun in einer weiteren Phase die internen Applikationen und Services geprüft werden. Ein Angreifer muss sich zwar bereits im internen Netz befinden, jedoch ist dann die Schwachstelle sehr einfach ausnutzbar. Genau zu wissen, in welchen Applikationen die verwundbare Library verwendet wurde, stellt eine Herausforderung dar. Dabei sollte man sich zuerst auf die Server-Systeme konzentrieren. Zur Identifizierung gibt es verschiedene Lösungsansätze:
- Man verfügt über ein sauberes Software-Inventar und klärt mit den Herstellern oder Lieferanten, ob die Applikation betroffen ist, oder prüft die Applikationen selbst anhand verfügbaren Listen:
https://github.com/NCSC-NL/log4shell/blob/main/software/README.md
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592 - Applikationen können mit folgenden Tools auch manuell auf die Schwachstelle geprüft werden:
https://log4shell.huntress.com/
https://log4j-tester.trendmicro.com/ - Effizienter ist ein Scan der Systeme auf die betroffene Libraries. Dazu gibt es mehrere Möglichkeiten, welche jedoch abhängig von den vorhandenen Tools sind.
Sollten dabei verwundbare Applikationen oder Services identifiziert worden sein, müssen entsprechende Reaktionen initiiert werden:
- Mit Hersteller oder Lieferant klären, ob ein Software-Update verfügbar ist und dieses möglichst zeitnah installieren.
- Alternativ empfohlene Mitigation-Workarounds umsetzen, System herunterfahren oder Applikation deinstallieren.
Wenn die Schwachstelle grundsätzlich in der IT-Umgebung vorhanden war, sollten weitere Massnahmen in Betracht gezogen werden:
- Sicherung von Logs und Protokollen für mögliche zukünftige Forensik-Tätigkeiten.
- Ausgehende Internetverbindungen auf unübliche DNS oder LDAP(S) Abfragen und verdächtige persistente Verbindungen überwachen und protokollieren.
- Sicherheitsmeldungen von z.B. Antivirus und anderen Detektionssystemen spezielle und erhöhte Aufmerksamkeit schenken.
- Implementation von Tools zur Erkennung von Anomalien.
Benötigen Sie Unterstützung oder haben Sie weitere Fragen? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.
Nur vorsorgliches Handeln schützt vor Cyberstress
BitHawk ist neu Partner von SecurityScorecard. Die Lösungen des US-amerikanischen Sicherheitsunternehmens ermöglichen eine 360° Sicherheitsbeurteilung des digitalen Footprints. Diesen erstellen Sie von Ihrem Unternehmen, sowie Ihrer Partner und der Lieferkette, von der Sie abhängig sind. Schwachstellen und mögliche Einfallstore für Angreifer lassen sich damit aufspüren und proaktiv bearbeiten.
Eine gute Cybersecurity beginnt vor der eigenen Haustüre. Mit SecurityScorecard erhält Ihr Unternehmen eine Sicherheitsbewertung, die für Sie und Ihre Sicherheitsarchitektur wichtige Anhaltspunkte geben kann. Sie widerspiegelt auch Ihre öffentliche Reputation. Schwachstellen, die Angreifer potenziell ausnützen, um Ihr Unternehmen anzugreifen, werden frühzeitig erkannt und geschlossen. Zum Beispiel werden öffentliche Publizierungen, die auf Ihre Domäne lauten, einem Scan unterzogen. Darin wird geprüft, ob heutige Sicherheitsstandards eingehalten werden und bekannte Schwachstellen geschlossen sind.
Haben wir Interesse geweckt? Auf unserem Blog vertiefen wir das Thema.
👇👇
Möchten Sie eine individuelle Sicherheitsbewertung für Ihr Unternehmen oder haben Sie Fragen zum Thema? Sie erreichen uns unter marketing@bithawk.ch oder Telefon 058 226 01 01.