Log4j

OTORIO beschreibt Folgen der Log4j-Schwachstelle für OT-Netzwerke

, München, OTORIO | Autor: Herbert Wieler

OTORIO beschreibt Folgen der Log4j-Schwachstelle für OT-Netzwerke

Log4j ist nicht nur ein klassisches IT-Sicherheitsproblem

Der Staub, den die Log4j-Schwachstellen, auch bekannt als CVE-2021-45046 (DOS), CVE-2021-45105 (DOS) und CVE-2021-44228, aufgewirbelt haben, hat sich etwas gelegt. Zwei Wochen nach der Meldung am 9. Dezember und etwa einen Monat nach der Entdeckung, ist bekannt, welche Server betroffen sind (nach einer Schätzung (fast ein Drittel aller Webserver ) und welche Gefahren bestehen (nach Angaben von Check Point gab es bis zum 17. Dezember mehr als 3.700.000 Hacking-Versuche, bei denen die Sicherheitslücke ausgenutzt wurde).

Allerdings ist jetzt auch klarer, was genau Hacker mit der Sicherheitslücke und ihren Varianten anstellen, und wir bekommen langsam eine Vorstellung davon, wie man sich gegen Log4j-basierte Angriffe verteidigen kann.

Im Fokus der Öffentlichkeit standen in den vergangenen Tagen in erster Linie IT-System, aber auch in OT-Umgebungen (Operational Technology) ist Vorsicht geboten.

Im Folgenden beschreibt Yair Attar, Mitbegründer und CTO von OTORIO, einige konkrete Schritte, die sich sofort umsetzen lassen, um ein OT-Netzwerk zu schützen. Doch zunächst einmal: Wie wirkt sich diese Sicherheitslücke auf OT-Netzwerke im Allgemeinen aus?

Eine der größten Herausforderungen bei Log4j – im Vergleich zu früheren Angriffen auf die Lieferkette wie SolarWinds – besteht darin, dass es zum jetzigen Zeitpunkt schwierig ist, genau zu bestimmen, was betroffen ist.

Die Schwachstelle wurde in einer Bibliothek gefunden, die in vielen Produkten verwendet wird. Das bedeutet, dass sie das Potenzial hat, mehrere Systeme in einem bestimmten Netzwerk zu beeinträchtigen. In den kommenden Tagen und Wochen werden Maschinenbauer, Systemhersteller und Anwendungsanbieter damit beginnen, genau mitzuteilen, welche ihrer Systeme betroffen sind, Patches zur Behebung der Schwachstelle zu veröffentlichen und detaillierte Pläne zur Schadensbegrenzung vorzulegen.

Bis dahin ist es sinnvoll, sofort vier konkrete Schritte vorzunehmen.

Vier Log4j-Schutzmaßnahmen

Schnelle Härtung

Blockieren Sie IOCs (Indication of Compromise) in Perimeter-Lösungen wie Firewalls, IDS, IPS, WAFs usw.). Es ist wichtig, sicherzustellen, dass Ihre WAFs automatisch aktualisiert und mit Log4j-Erkennungs- und Präventions-Updates geladen werden (dies garantiert keine Exploit-Prävention, da sie auf Verhalten und Signaturen basiert).

Identifizierung

  • Verringern Sie Ihre globale Angriffsfläche durch Scannen mit einem Tool wie ReconOT von OTORIO, das automatisch und passiv OT-IoT-IT-Aufklärung betreibt, um Assets zu entdecken, sobald sie von einem potenziellen Angreifer entdeckt werden. Kürzlich hat OTORIO ReconOT mit der nicht-invasiven Fähigkeit ausgestattet, Anwendungen zu erkennen, die für Log4j anfällig sein könnten.
  • Verwenden Sie Ihr Asset-/Softwareinventar, um bekannte Anwendungen zu identifizieren, die als anfällig für Log4j veröffentlicht wurden. Die Technologie von OTORIO (sowohl RAM2 als auch spOT) kann Sie bei diesem Prozess optimal unterstützen.
  • Scannen Sie Pakete. Tools, wie das von CERTCC (veröffentlicht von cisa), könnten ebenfalls nützlich sein, sowohl für Linux als auch für Windows, wenn es kein anderes SBOM-Tool gibt.

Entschärfung und Patching

Aktualisierung auf die neueste Log4j-Version. Wenn ein Patching nicht möglich ist, isolieren Sie das betroffene System so weit wie möglich. Wenn es sich um OT-Anlagen handelt, vergewissern Sie sich, dass die oben genannten Schritte mit dem Hersteller des Systems abgestimmt sind.

Überwachung

  • Erkennung von Ausbeutungsversuchen auf Linux-Hosts durch Durchsuchen der log4j jndi-Protokolle
  • Snort-Regeln für IDS/IPS-Systeme
  • Wenn Sie EDR auf DMZ-Systemen einsetzen, überwachen Sie diese auf verdächtige curl-, wget- oder ähnliche Befehle.

Darüber hinaus wird Unternehmen dringend empfohlen, die Apache Log4j Security Vulnerabilities- Webseite auf Aktualisierungen und Hinweise zur Schadensbegrenzung zu überprüfen und eng mit ihren Providern und Lieferanten zusammenzuarbeiten, um alle Aktualisierungen auf den betroffenen Systemen zu überwachen. Natürlich ist nichts kugelsicher, aber alle oben genannten Maßnahmen können helfen.

Wie kann OTORIO helfen?

OTORIO-Kunden können ihr RAM² so konfigurieren, dass es sich mit verschiedenen Datenquellen wie EDR, FW, WAF und OTORIOs eigenen Tools integrieren lässt. Je breiter die Abdeckung ist, desto größer ist die Chance, log4j-Ausbeutungsversuche zu erkennen.

Darüber hinaus kann die spOT-Plattform von OTORIO eine automatisierte Risikobewertung durchführen und so Maschinen gegen jede Bedrohung abhärten. In nur wenigen Stunden erstellt spOT ein vollständig aktualisiertes Inventar von OT-, IT- und IIoT-Anlagen – einschließlich Komponenten, Baugruppen, kompletten Maschinen, Netzwerksegmenten, Firewall-Konfigurationen, Verbindungen zwischen Geräten, Protokollen und mehr. Dies ist für jede Fabrik, Produktionshalle, Energie- oder Infrastruktureinrichtung möglich. spOT nutzt mehrere Datenquellen, um automatisch das Risiko pro OT-Anlage, Prozess oder ganzem Standort zu bewerten und die gesamte Cybersicherheitslage zu messen.