Dirty Pipe und die Bedeutung des Schutzes der Anwendungsinfrastruktur

Zu Beginn dieses Jahres traten einige Schwachstellen auf Infrastrukturebene auf, die sich auf Cloud-native Organisationen auswirkten, wie etwa Log4j und Pwnkit. Dieser Trend wird durch Dirty Pipe fortgesetzt, eine Sicherheitslücke im Linux-Kernel. Dirty Pipe ermöglicht das Überschreiben von Daten in beliebigen schreibgeschützten Dateien, was durch Einschleusen von Code in Root-Prozesse zu einer Rechteausweitung führen kann.

Da böswillige Akteure Dirty Pipe ausnutzen können, um auf Infrastrukturebene Schaden anzurichten, kann dies für viele Unternehmen ein Problem darstellen. Doch mit einer umfassenden Sicht auf die gesamte Umgebung können derartige Schwachstellen bei ihrem Auftreten angemessen behoben werden.

Das Problem bei der Abwehr von schmutzigen Rohren

Laut dem State of Application Strategy Report von F5 konzentrieren sich viele Organisationen, die eine digitale Transformation durchführen, auf die „Modernisierung“ ihrer wichtigsten Geschäftsanwendungen. Wir beobachten, dass unsere Kunden für die Ausführung dieser Anwendungen zunehmend in eine auf Microservices basierende Infrastruktur investieren, da diese klare Vorteile wie höhere Agilität und ein schnelleres Innovationstempo bietet.

Im Einklang mit diesem Bestreben, Anwendungen zu modernisieren, sehen wir auch einen größeren Bedarf an Anwendungsschutz. Letzten Monat ging F5 dieses Problem mit der Veröffentlichung des F5 Distributed Cloud WAAP an und bietet Kunden zahlreiche Tools zum Schutz auf Anwendungsebene, beispielsweise Bot Defense oder Advanced WAF. Mit dieser Lösung können unsere Kunden Angriffe auf ihr Unternehmen blockieren, indem sie auf wichtige Geschäftsanwendungen zugreifen.

Das Problem mit Schwachstellen wie Dirty Pipe (und anderen aktuellen Exploits wie Pwnkit oder Log4j) besteht darin, dass es nicht ausreicht, böswilligen Akteuren einfach mit Tools wie Distributed Cloud WAAP den Zugriff auf die Anwendungsebene zu verwehren, wenn der gezielte Angriff Schwachstellen auf Infrastrukturebene aufdeckt. Anwendungen sind nur so sicher wie die Cloud-native Infrastruktur, auf der sie ausgeführt werden. Um sich vor einem Exploit wie Dirty Pipe zu schützen, müssen Kunden daher über einen Schutz für die Infrastruktur selbst verfügen. Durch die Übernahme von Threat Stack ist F5 optimal aufgestellt, auch diese Funktion anzubieten.

Threat Stack überwacht alle Ebenen des Cloud-nativen Infrastruktur-Stacks – von der Cloud-Verwaltungskonsole über Hosts und Container bis hin zur Orchestrierung – auf Verhaltensweisen, die darauf hinweisen, dass Angreifer Zugriff auf die Infrastruktur erlangt haben. Threat Stack bietet Kunden dann die notwendige Beobachtung, um proaktiv und schnell gezielte Maßnahmen zur Behebung von Bedrohungen auf dieser Ebene zu ergreifen. In Kombination mit F5 können Kunden ihre modernisierten Anwendungen mit einem umfassenden Überblick über Bedrohungen sowohl auf Anwendungs- als auch auf Infrastrukturebene schützen.

So hilft Threat Stack bei Dirt Pipe

Insbesondere bei Dirty Pipe profitierten die Kunden von Threat Stack sofort von Oversight , der rund um die Uhr an 365 Tagen im Jahr verfügbaren Überwachung und Expertise des Security Operations Center (SOC) von Threat Stack. Ähnlich wie bei Log4j und Pwnkit begann das Team, den gesamten Kundenstamm nach Hinweisen auf Dirty Pipe zu durchsuchen, um herauszufinden, wie wir unsere Kunden am besten unterstützen können.

Nachdem wir eine Bedrohungssuche durchgeführt und externe Expertenquellen untersucht hatten, stellten wir fest, dass Threat Stack, ähnlich wie Log4j, Post-Exploit-Aktivitäten erkennt, die für diese Sicherheitsanfälligkeit spezifisch sind. Die sofort einsatzbereiten Regeln von Threat Stack sind so eingestellt, dass sie sämtliche Indikatoren für eine Gefährdung, die auf eine Dirty Pipe-Aktivität in der Umgebung eines Kunden hinweisen, beobachten und davor warnen.

Wir verfolgen weiterhin, welche Auswirkungen Dirty Pipe auf unsere Kunden haben könnte, ähnlich wie wir es bei Log4j, Pwnkit und anderen tun. Der größere springende Punkt ist jedoch, dass Angriffe nur auf Infrastrukturebene erfolgen können. Um die Sicherheit modernisierter Anwendungen zu gewährleisten, müssen Sie diese Angriffe im Blick haben. Bei Threat Stack und F5 haben wir uns genau diesem Ziel verschrieben.