Log4j-Sicherheitslücke

Log4j-Sicherheitslücke: Armis empfiehlt auch das Patchen der IoT

Log4j-Sicherheitslücke: Armis empfiehlt auch das Patchen der IoT

Die ganze Welt ist mit Patch-Management beschäftigt und wieder einmal werden IoT vergessen. Security-Forscher von Armis empfehlen deshalb dringend auch IoT in den Fokus zu nehmen, denn sie entdeckten log4shell-Angriffsversuche bei mehr als einem Drittel der eigenen Kunden und jeden Tag folgen neue Angriffsversuche. Die Top 3 der angegriffenen Geräte sind bislang physische Server (42 %), virtuelle Server (27 %) und IP-Kameras (12 %).

Darüber hinaus konnten auch Angriffsversuche auf Produktionsgeräte (HMI-Panels und Steuerungen) und Anwesenheitssysteme (Kronos) festgestellt werden.

Die Angaben in der Grafik zeigen die Varianz der Geräte auf, die von Log4Shell betroffen sind.

Aus diesem Grund empfiehlt Armis die folgenden fünf Schritte zu beachten, um die aktuelle Log4Shell-Sicherheitslücke aber auch zukünftige Schwachstellen vorzubeugen oder zu beheben:

Asset Visibility

Verfügt das Unternehmen über ein genaues Inventar von allem Geräten in seiner IT-Umgebung, auf dem Apache/Java läuft und die Log4j verwenden? Lösungen wie Armis sehen und identifizieren jedes Asset für 100 Prozent vollständige Transparenz: über IT/OT/IoT/IoMT verwaltete und nicht verwaltete Assets, sowohl im Netzwerk als auch in der Cloud.

Risikobewertung

Welche Geräte in der IT-Umgebung sind anfällig oder müssen weiter bewertet werden, um eine mögliche Gefährdung zu bestätigen? Eine zentrale Plattform kann dabei helfen, die Geräte in der IT-Umgebung, auf denen Apache- und/oder Java- und andere Anwendungen ausgeführt werden, zu erfassen, die spezifischen Geräte zu identifizieren, die einer weiteren Überprüfung bedürfen (z. B. Bestätigung der genauen Softwareversionen), und die spezifischen Konfigurationen oder Bereitstellungen zu ermitteln, die potenziell von solchen Gefährdungen betroffen sind.

Bewertung der Bedrohung

Gibt es derzeit aktive Ausnutzungsversuche oder hat ein bösartiger Akteur die Schwachstelle in meiner Umgebung bereits erfolgreich ausgenutzt? Sicherheitsforscher haben die Schwachstelle analysiert und Abfragen entwickelt, mit denen aktive Versuche, die Schwachstelle auszunutzen, schnell identifiziert werden können, damit Administratoren anfällige Systeme isolieren oder unter Quarantäne stellen und Patching-Maßnahmen einleiten können.

IT-Umgebungen schützen

Administratoren sollten die anfälligen Systeme isolieren oder sie unter Quarantäne stellen. Darüber hinaus sollten sie Patching-Maßnahmen einleiten. Asset Management und Sicherheit sollten aktiviert sein, um Risiken zu erkennen, bevor sie zum Problem werden.

Vorbeugende und eindämmende Maßnahmen

Wichtig ist die Frage zu stellen, welche Geschäftsdienste, Lösungen oder kritischen Infrastrukturen könnten beeinträchtigt werden. Die Antwort auf diese Frage wird dann interessant, falls die Schwachstelle ausgenutzt wird, oder werden bereits aktiv beeinträchtigt.