Log4Shell
Orca Security zeigt Schutzmaßnahmen gegen Log4Shell-Sicherheitslücke
Avi Shua, CEO von Orca Security mit Hinweisen für Unternehmen, wie sie alle Schwachstellen entdecken und aktualisieren, sowie für die Zukunft abmildern können.
„Aufgrund der Tatsache, dass Log4j in einer immensen Vielzahl von Anwendungen eingesetzt wird, sind sich die Endbenutzer oft nicht bewusst, welche Anwendungen darauf zurückgreifen. Zudem ist es schwieriger zu verstehen, wie stark sie wirklich gefährdet sind. Dies unterstreicht ein Problem, das so alt ist wie die IT-Sicherheit selbst – die Notwendigkeit der Sichtbarkeit, um alle verwundbaren Instanzen zu entdecken und zu aktualisieren, bevor es Angreifer tun.
Um dieses Kunststück zu vollbringen, müssen die Verteidiger über eine 100 Prozent genaue Inventarisierung ihrer Cloud-Umgebung und aller anfälligen Ressourcen verfügen. Sie müssen zudem die Möglichkeit haben, diejenigen zu priorisieren, die dem Internet ausgesetzt sind und das größte Risiko darstellen. Dies kann durch den Einsatz einer CNAPP (Cloud-Native Application Protection Platform) erreicht werden, die eine echte Tiefeninventarisierung der Cloud-Umgebung bietet und die nach außen gerichteten anfälligen Assets priorisiert. Das Patchen und Entschärfen von Schwachstellen wie Log4j kann zwar eine echte Herausforderung sein, ist aber weitaus besser als blind im Dunkeln zu tappen und nicht zu wissen, welcher Teil der Umgebung gefährdet ist.“
Zu den Maßnahmen, die Unternehmen jetzt ergreifen können, um die nachgelagerten Auswirkungen abzuschwächen, zählen:
- Identifizierung der Unternehmensanwendungen mit anfälligen Bibliotheken (mit Hilfe eines kontinuierlichen Scan-Tools).
- Bewertung der Asset-Exposition und Ergreifen entsprechender Maßnahmen. Ist die Schwachstelle nach außen oder nach innen gerichtet oder vollständig blockiert (dies kann manuell oder über CNAPP-ähnliche Tools erfolgen)?
- Wir empfehlen, nach außen gerichtete Anwendungen, die die anfällige Bibliothek verwenden, zu blockieren, es sei denn, es besteht Gewissheit, dass diese Sicherheitslücke nicht ausgenutzt werden kann oder eine aktualisierte Version veröffentlicht wird. Bei internen Anwendungen kann je nach Auswirkung des Blockierens und der Angriffsfläche mehr Ermessen angewandt werden.
- Ein anderer Ansatz besteht darin, eine Abschwächung zu implementieren. In diesem Fall ist das Risiko einer Auswirkung gering, und die Maßnahme funktioniert auch dann, wenn der Anbieter keinen Fix bereitstellt. Dabei gilt es die Systemeigenschaft „log4j2.formatMsgNoLookups“ auf „true“ zu setzen, wodurch die Schwachstelle nicht ausgenutzt werden kann und keine Änderung durch den Hersteller erforderlich ist.