BLOG

So können Sie Log4j heute entschärfen und zukünftige Exploits verhindern

Katharina Neumann
Katharina Neumann

Navi Gill

Navpreet Gill
Veröffentlicht am 10. Januar 2022


Was ist die Log4j-Sicherheitslücke?

Für viele in der IT-Welt waren die letzten Wochen hart. Am 9. Dezember wurde eine kritische Zero-Day-Sicherheitslücke in der für Java- Applications verwendeten und als Log4j bekannten allgegenwärtigen Protokollierungsbibliothek der Apache Software Foundation entdeckt und bekannt gegeben. Hunderttausende von Websites und Applications verwenden diese Software, um Protokollierungen durchzuführen, damit Entwickler ihre Websites debuggen und andere Trends für ihre Applications und Webseiten verfolgen können. Es wird geschätzt , dass das Log4j-Framework in Hunderttausenden von Open-Source-Softwareprojekten verwendet wird. Entwickler erstellen mit diesen Open-Source-Tools häufig Software, ohne den zugrunde liegenden Code zu prüfen, der möglicherweise vorhandene Schwachstellen aufweist.

Hier eine kurze Zusammenfassung der Log4j-Sicherheitslücke und der Art von Exploit, die Angreifer damit ausführen können:

F5 Labs erklärt: „Log4j weist eine bisher unentdeckte Sicherheitslücke auf: Wenn Daten, die über diese Website gesendet werden, eine spezielle Zeichenfolge enthalten, führt dies dazu, dass Log4j automatisch zusätzliche Software von einer externen Website abruft und ausführt. Wenn ein Angreifer dies ausnutzt, kann er auf dem Server, auf dem Log4j läuft, jede beliebige Software ausführen lassen – auch Software, die die vollständige Kontrolle über den Server erlangen kann. Dies wird als Remote Code Execution (RCE)-Angriff bezeichnet.“

Log4j birgt ein hohes Potenzial für Geschäftsunterbrechungen

Aufgrund der Verbreitung von Log4j wurde die ursprüngliche Schwachstelle CVE-2021-44228 (Spitzname Log4Shell) als kritische Schwachstelle eingestuft. Die Schwere dieser Sicherheitslücke sowie die Tatsache, dass der Patch selbst eine Sicherheitslücke enthielt und gepatcht werden musste , bedeuten, dass sich IT-Experten möglicherweise eine Zeit lang mit den Folgen dieser Sicherheitslücke auseinandersetzen müssen. Dies bedeutet in Verbindung mit der Tatsache, dass das IT-Personal nach verschachtelten Referenzen von Log4j suchen muss, d. h. prüfen muss, ob in der Software verwendete Bibliotheken auf die Log4j-Bibliothek verweisen, dass Log4Shell einen Kaskadeneffekt verursachen kann. Es kann schwierig sein, das volle Ausmaß der Auswirkungen zu bestimmen, die die Log4j-Sicherheitslücke und Log4Shell auf Ihr Unternehmen haben können. Holen Sie sich eine kostenlose Bedrohungsanalyse wenn Sie befürchten, dass Ihr Unternehmen gefährdet sein könnte.

Falls Sie es noch nicht getan haben, lautet die erste Maßnahme jeder Organisation zur Eindämmung von Log4j: PATCH! Patchen Sie Server, auf denen Log4j ausgeführt wird. Patchen Sie die Software mithilfe von Bibliotheken, die Log4j ausführen. Einfach PATCHEN und weiter patchen!

Während Ihr Unternehmen den wichtigen und umfassenden Prozess der Erkennung und Behebung dieser Schwachstellen fortsetzt, ist es von entscheidender Bedeutung, sich vor Angriffen mit Log4Shell-Exploits zu schützen und eine weitere Schadensausbreitung zu verhindern, wenn ein Angreifer bereits in Ihre Umgebung eingedrungen ist. Darüber hinaus haben die USA am 4. Januar Die Federal Trade Commission hat in einer Mitteilung darauf hingewiesen, dass Unternehmen, die die Log4J-Sicherheitslücken von Apache nicht beheben, mit rechtlichen Schritten rechnen müssen. Dabei wird die Bedeutung von Log4j hervorgehoben.

Auch wenn Sie über alle Patches verfügen, dürfen Sie nicht vergessen, dass Log4j nicht die erste Sicherheitslücke dieser Art ist und auch nicht die letzte sein wird. Deshalb ist es wichtig, dass Sie sich proaktiv vor aktuellen und zukünftigen Sicherheitslücken schützen und gleichzeitig einen Plan zum Schutz Ihres Netzwerks haben, falls ein Angreifer eine Sicherheitslücke in Ihren Systemen ausnutzt. Glücklicherweise lässt sich eine Minderungsstrategie relativ einfach umsetzen.

Wenn es um die Beseitigung von Schwachstellen wie Log4j geht, sollten Sie Folgendes beachten:

  1. Schützen Sie Ihr Unternehmen proaktiv vor Angriffen mit Log4Shell und anderen Schwachstellen dieser Art durch die Implementierung einer WAF
  2. Treffen Sie Sicherheitsvorkehrungen, um sicherzustellen, dass Sie im Falle eines Angriffs auf Ihr Unternehmen den Exploit stoppen können, bevor er ernsthaften Schaden in Ihrem Netzwerk anrichtet.
  3. Führen Sie ein Audit durch, um den vollen Umfang der Auswirkungen der Sicherheitslücke zu ermitteln
  4. Patchen Sie sämtlichen Code, der die Schwachstelle nutzt oder darauf verweist, und stellen Sie mithilfe Ihres Audits sicher, dass keine Schwachstelle ungepatcht bleibt.

Minderung der Log4j-Sicherheitslücke durch Signaturen, die bekannte Angriffsmethoden blockieren

Wenn man sich nicht darum kümmert, können Cyber-Gegner schnell Tausende von Websites und Online-Apps übernehmen und so vertrauliche Daten stehlen. Die effektivste Lösung besteht darin, den App-Code mit der neuesten Version von Log4j zu patchen und böswillige Anfragen mit einer Web Application Firewall (WAF) zu blockieren.

Möglicherweise müssen Sie Ihr Unternehmen auch vor Log4Shell-Angriffen schützen, während Sie die erforderlichen Patches für die Log4j-Sicherheitslücke auf Ihren anfälligen Servern und Ihrem Software-Stack installieren. Auch hier kann eine WAF hilfreich sein.

F5 WAF-Lösungen – alle auf der konsistenten, robusten WAF-Engine von F5 aufgebaut und in Bereitstellungs- und Verbrauchsmodellen verfügbar, um Ihren Sicherheitsanforderungen optimal gerecht zu werden – tragen dazu bei, die Auswirkungen der Apache Log4j Remote Code Execution (RCE)-Sicherheitslücke in Ihrer Infrastruktur zu mildern. F5 bietet vier Optionen zum Schutz Ihrer Application mit unserer robusten WAF-Engine:

  1. F5 Advanced WAF
  2. NGINX App Protect WAF
  3. Silverline WAF
  4. Volterra WAF

F5 hat eine Reihe von Signaturen veröffentlicht, die bekannte Angriffsvektoren für Log4j-Schwachstellen blockieren. Sowohl F5 Advanced WAF als auch NGINX App Protect WAF können Ausnutzungsversuche mithilfe von Signaturen blockieren, die spezifisch für die Java Naming and Directory Interface (JNDI)-Injektion und für generische JNDI-Injektionssignaturen sind. Diese Signaturen sind Teil des Signatursatzes für die serverseitige Code-Injektion, der auf der Grundlage fortlaufender Untersuchungen der Bedrohung und bekannter WAF-Umgehungen mit neuen Regeln aktualisiert wird, um Log4Shell-Angriffe effektiv zu erkennen. Auf diese Weise ermöglicht F5 WAF „virtuelles Patchen“. Besuchen Sie uns hier, um Unterstützung bei der Risikominderung für BIG-IP- und NGINX- Application zu erhalten.

F5 Advanced WAF bietet erweiterten Schutz, der weit über die einfache Verteidigung gegen die OWASP Top 10 hinausgeht, und eignet sich perfekt für sicherheitsorientierte Organisationen, die detaillierte Kontrollen für herkömmliche Apps selbst verwalten und anpassen möchten. Wenn Sie bereits F5 BIG-IP-Kunde sind, verfügen Sie bereits über die leistungsstärkste WAF der Branche – die F5 WAF-Engine – in Ihrem Netzwerk. Durch die Lizenzierung von Advanced WAF auf BIG-IP können Sie, insbesondere wenn Sie ein F5 BEST-Lizenznehmer sind, die Abwehr neuer und bestehender Bedrohungen automatisieren, die Sicherheitswirksamkeit für einen besseren Schutz verbessern und maschinelles Lernen und Verhaltensanalysen für einen berührungslosen App-Schutz freischalten. 

Wenn Sie eine selbstverwaltete WAF-Lösung suchen, die für Ihr Agile-DevOps-Team entwickelt wurde und zum Schutz Ihrer modernen Infrastruktur oder einer Kubernetes-Umgebung konzipiert ist, wird NGINX App Protect WAF Ihren Anforderungen am besten gerecht. Weitere Einzelheiten zu NGINX App Protect WAF finden Sie im Blog „Mildern der log4j-Sicherheitslücke mit NGINX “.

Wenn Sie denselben Schutz wie mit Advanced WAF oder NGINX App Protect WAF wünschen, jedoch einen manuellen Ansatz benötigen oder bevorzugen, der Ihnen hilft, Exploits sofort zu entschärfen, ist ein verwalteter Dienst wie das Cloud-basierte Silverline WAF von F5 möglicherweise die perfekte Lösung. Silverline WAF ist der führende, vollständig verwaltete WAF-Dienst von F5 und bietet eine umfassende Lösung zum Schutz Ihrer Applications in einer Hybrid- oder Multi-Cloud-Umgebung, unterstützt von den Sicherheitsexperten im SOC von F5. Das SOC-Team von F5 Silverline hat die erforderlichen Abwehrmaßnahmen implementiert, überwacht Bedrohungen kontinuierlich und wendet die erforderlichen Abwehrmaßnahmen und Schutzmaßnahmen gegen Schwachstellen wie Log4j an.

Unsere Volterra WAF- Plattform erhielt außerdem aktualisierte Signaturen, um das Risiko durch Log4j-Schwachstellen weiter zu verringern. Diese Signaturen sind jetzt in der WAF-Standardrichtlinie enthalten und für unsere Volterra WAF-Kunden sind keine weiteren Maßnahmen erforderlich, um Log4Shell-Angriffe abzuschwächen. Volterra WAF ist die beste Option für Benutzer, die nach einem Cloud-nativen WAF mit einer SaaS-basierten Bereitstellung suchen.

Die Angebote und Dienste von F5 WAF – F5 Advanced WAF, NGINX App Protect WAF, F5 Silverline WAF und Volterra WAF – können gemeinsam genutzt und bereitgestellt werden, wo immer sie benötigt werden, um Ihre Applications optimal zu adressieren und zu schützen und sie vor Bedrohungen auf Anwendungsebene zu verteidigen.

Darüber hinaus lassen sich komplexe Angriffskampagnen nur schwer von einzelnen Angriffen unterscheiden. F5 Threat Campaigns , verfügbar mit F5 Advanced WAF und/oder NGINX App Protect WAF, schützt Apps und IT-Infrastruktur vor ausgeklügelten Angriffen, indem es aktuelle Angriffskampagnen präzise erkennt und proaktiv blockiert. Während F5 WAFs allein schon als wichtiger Sicherheitskontrolle dienen, kann die Bedrohungsaufklärung einen einzelnen Angriffsvorfall mit einer umfangreicheren und ausgefeilteren Kampagne in Verbindung bringen. So können Sie sich gegen gezielte Angriffe verteidigen, die möglicherweise die grundlegenden WAF-Sicherheitsrichtlinien umgehen. Bedrohungskampagnen können einfach zu Ihrer Advanced WAF und NGINX App Protect WAF-Bereitstellung hinzugefügt werden, um die Sicherheit zum Erkennen und Blockieren von Bedrohungen zu automatisieren.

Richten Sie im Falle einer Kompromittierung eine Verteidigung gegen Log4Shell-Angriffe ein

Wenn man bedenkt, wie viele Bibliotheken Log4j verwenden, kann es schwierig sein, das volle Ausmaß der Auswirkungen der Sicherheitslücke für Ihr Unternehmen sofort zu ermitteln. Während dieser Zeit besteht leider die Gefahr, dass Sie ausgebeutet werden.

Beispielsweise könnte ein Angreifer eine Anfrage an einen betrügerischen Endpunkt stellen, um ein Stück Schadsoftware abzurufen und zu verteilen. Oder ein Angreifer könnte eine Anfrage an einen Server stellen, die den kompromittierten Server dazu veranlasst, Befehle des Hackers auszuführen, die seinem normalen Betrieb zuwiderlaufen und Ihr Unternehmen gefährden.

Selbst wenn ein Angreifer die Schwachstelle bereits ausgenutzt hat, stehen Ihnen noch weitere Optionen zur Verfügung. Wenn ein Angreifer einmal Remote-Code ausführt, der Log4Shell ausnutzt, können Sie glücklicherweise die Verbreitung des Exploits in Ihrem Netzwerk stoppen, indem Sie den ausgehenden Serververkehr überprüfen.

Angenommen, Sie hätten am Rand Ihres Netzwerks eine Lösung, die verschlüsselte Verkehrspakete entschlüsseln und deren Überprüfung ermöglichen könnte. In diesem Fall könnten Sie Malware oder bösartigen Datenverkehr, der aufgrund einer Log4j-Sicherheitslücke verbreitet wird, abfangen und blockieren, bevor er weiteren Schaden anrichtet. Ein Beispiel wäre die Kontaktaufnahme mit einem Command-and-Control-Server, um weitere Angriffe zu starten oder sogar Daten zu exfiltrieren. Da Server normalerweise mit dem Internet verbunden sind, durchquert Ihr Serververkehr Ihre Umgebung über TLS. Daher ist die Überprüfung des verschlüsselten Serververkehrs von entscheidender Bedeutung, um die Ausbreitung einer bereits kompromittierten und anfälligen Umgebung einzudämmen und zu stoppen.

Die Verwendung eines Produkts wie F5 SSL Orchestrator bietet Einblick in den verschlüsselten Datenverkehr und stoppt verschlüsselte Bedrohungen, indem es bei der Durchführung entschlüsselter ausgehender Analysen hilft. SSL Orchestrator entschlüsselt den Datenverkehr, der Ihr Netzwerk durchläuft, sogar den Server-Datenverkehr, und sendet den Datenverkehr an Inspektionsdienste von Drittanbietern (wie NGFW, WAF, SWG, IPS oder DLP), die dann den Datenverkehr zulassen, blockieren oder umgehen können, um sicherzustellen, dass sich auf dem Weg in Ihr Netzwerk keine verschlüsselte Malware verbreitet; und kein bösartiger Datenverkehr, der für C bestimmt ist.2 (Command and Control-)Server oder exfiltrierte Daten können aus Ihrer Umgebung herausgelangen. SSL Orchestrator wurde speziell dafür konzipiert und entwickelt, die SSL/TLS-Infrastruktur zu verbessern, Sicherheitslösungen mit Einblick in den SSL/TLS-verschlüsselten Datenverkehr bereitzustellen und Ihre vorhandenen Sicherheitsinvestitionen zu optimieren und zu maximieren, um Ihr Netzwerk vor kaskadierenden Angriffen zu schützen.

Abschluss

Log4j ist nicht die erste schwerwiegende und weitreichende Sicherheitslücke und es wird auch nicht die letzte sein. So wichtig es ist, sich jetzt vor Log4j-Ausnutzungen zu schützen – die zum Zeitpunkt der Veröffentlichung noch im Gange waren –, so wichtig ist es auch, die Sicherheit Ihrer Application und Ihres Netzwerks zu stärken, um Ihre Vermögenswerte vor der unvermeidlichen nächsten kritischen Sicherheitslücke zu schützen.

Um beim Auftreten der nächsten kritischen Sicherheitslücke vorbereitet zu sein, müssen Sie die folgenden vier Schritte befolgen. Setzen Sie idealerweise eine WAF ein, bevor eine Sicherheitslücke bekannt gegeben wird, damit Ihre Apps vor bekannten Angriffsmethoden wie Log4Shell geschützt sind. Darüber hinaus sollten Sie idealerweise schon vor der Bekanntgabe einer Sicherheitslücke über eine Lösung zum Schutz Ihres Netzwerks verfügen. Wenn Sie während des Patchvorgangs angegriffen werden und Angreifer in Ihr Netzwerk eindringen können, können Sie verhindern, dass Hacker mithilfe eines Exploits Ihre Server kontrollieren oder Ihre Daten exfiltrieren. Nachdem eine Sicherheitslücke bekannt gegeben wurde, besteht der nächste Schritt darin, Ihr Risiko zu ermitteln. ( Die kostenlose Bedrohungsbewertung von F5 kann helfen!) Und als nächstes: Flicken, Flicken, Flicken! Mit diesen vier Strategien sind Sie auf die nächste Schwachstelle vorbereitet, wenn sie auftritt.

F5 kann Ihnen beim Aufbau eines umfassenden Minderungsplans helfen, der Angreifer daran hindert, eine Schwachstelle auszunutzen, und der Ihre Umgebung auch nach einer erfolgreichen Ausnutzung vor weiteren Schäden oder Beeinträchtigungen schützt.

Wenn Sie weitere Fragen zur Minderung der Log4j-Sicherheitslücke oder anderer ähnlicher Sicherheitslücken haben, wenden Sie sich an Ihr F5-Vertriebsteam oder kontaktieren Sie uns unter sales@f5.com . Um auf dem Laufenden zu bleiben, wie F5 auf Log4j reagiert, verfolgen Sie unseren Blog , der aktualisiert wird, sobald neue Informationen verfügbar sind.

Wenn Sie derzeit angegriffen werden und dringend Hilfe benötigen, rufen Sie unser Security Operations Center (SOC) unter (866) 329-4253 oder +1 (206) 272-7969 an. Internationale Telefonnummern finden Sie unter https://www.f5.com/attack . Bestehende BIG-IP-Kunden können sich an das Security Incident Response Team wenden.