BLOG

Log4j-Sicherheitslücke: Sind Organisationen immer noch gefährdet?

Sudhir Patamsetti Miniaturbild
Sudhir Patamsetti
Veröffentlicht am 12. Juli 2023

Die anhaltende Bedrohung

Es ist über 18 Monate her, dass die Log4j-Sicherheitslücke Schockwellen durch die Cybersicherheits-Community schickte, doch aktuelle Berichte deuten darauf hin, dass mit Stand 1. Oktober 2022 immer noch erstaunliche 40 % der Log4j-Downloads anfällig für Ausnutzungen sind und 72 % der Organisationen immer noch anfällig für Log4j sind. Allein im Mai 2023 hat unsere F5 Distributed Cloud Platform dazu beigetragen, Kunden vor über 1 Million Log4j-Angriffsversuchen zu schützen, die durch die Schutzfunktionen der Web-App und der API erfolgreich abgewehrt wurden.

Abbildung 1: Log4j-Angriffe im Juni und Juli 2023 werden weiterhin durch F5 Distributed Cloud WAAP abgeschwächt

Dies ist lediglich ein Beispiel für ein CVEs, das die fortbestehenden Herausforderungen verdeutlicht, da Unternehmen Schwierigkeiten haben, mit der Verwaltung der CVE-Behebung Schritt zu halten, und es handelt sich um ein Problem, das in Zukunft nur noch größer werden wird. Die Anzahl der veröffentlichten CVEs nimmt zu und F5 Labs geht davon aus, dass die Rate, mit der in einer typischen Woche neue CVEs veröffentlicht werden, bis 2025 auf 500 pro Woche ansteigen wird. Es sind fast zwei Jahre vergangen, seit die Log4j-Sicherheitslücke aufgedeckt wurde, und die Unternehmen versuchen immer noch, den Rückstand aufzuholen, während sich das umfassendere Problem ständig weiterentwickelt. Trotz der Verfügbarkeit von Patches und Updates tragen zahlreiche Faktoren zu anhaltenden Schwachstellen wie log4j bei.

Organisatorische Herausforderungen

Die schiere Menge und Häufigkeit neuer Sicherheitslücken bringt Sie an Ihre Grenzen. Oft fehlt die Zeit oder das Wissen, um neue Hinweise zeitnah zu verfolgen. Haben Sie eine Sicherheitslücke entdeckt, kann das Patchen vor allem in großen, vernetzten Umgebungen komplex sein. Es erfordert viel Aufwand und Koordination, wodurch sich die Patchzyklen verlängern. Die Mischung aus alter und moderner Infrastruktur, Systemen und Anwendungen in vielen Unternehmen erschwert die Umsetzung wichtiger Updates zusätzlich – etwa durch Kompatibilitätsprobleme, hohe Kosten oder ungünstige Zeitfenster. Außerdem spielen komplexe Patches und Updates als indirekte Abhängigkeiten innerhalb von Software-Lieferketten oder Infrastrukturkomponenten eine Rolle und können unbemerkt bleiben – selbst wenn Sie die betroffenen Systeme nicht direkt einsetzen. Genau wie Fehler im Quellcode können auch menschliche Unachtsamkeiten Ihre Schutzmaßnahmen beeinträchtigen, wenn Entwickler oder Administratoren den Patchbedarf übersehen oder Systeme falsch konfigurieren. Bei komplexen IT-Strukturen oder risikobereiten Unternehmenskulturen verzögern oft aufwändige Tests, Angst vor Ausfällen oder andere Geschäftsprioritäten die Patch-Einspielung. Erschwerend kommen erhebliche Personalengpässe hinzu, besonders im Sicherheitsbereich. Wie schaffen Sie es, trotzdem Schritt zu halten, während Sie unermüdlich Patches und Updates für Systeme und Anwendungen durchführen?

Abschluss

Die Behebung von Schwachstellen wie log4j erfordert eine gemeinsame Anstrengung von Organisationen, Entwicklern, Anbietern und der gesamten Cybersicherheits-Community. Um die Persistenz von Schwachstellen zu minimieren und Unternehmen vor potenziellen Angriffen zu schützen, sind rechtzeitiges und umfassendes Patchen, ein verbessertes Bewusstsein, robuste Praktiken zum Schwachstellenmanagement und kontinuierliches Monitoring unabdingbar. Zwar sind Patches zur Behebung bekannter Schwachstellen wie log4j unerlässlich, doch können sie keinen vollständigen Schutz garantieren, da ständig neue Schwachstellen auftreten. Um Risiken wirksam zu mindern, müssen Unternehmen umfassende Sicherheitslösungen einführen. Hierzu gehört die Implementierung von Web Application Firewalls (WAFs) und API-Sicherheitsmaßnahmen zum Schutz vor Angriffen auf Anwendungsebene. Darüber hinaus ist eine kontinuierliche Überwachung von entscheidender Bedeutung, um neu auftretende Bedrohungen umgehend zu erkennen und darauf zu reagieren. Durch die Einführung eines ganzheitlichen Ansatzes, der Patching mit robusten Sicherheitsmaßnahmen und kontinuierlicher Überwachung kombiniert, können Unternehmen ihre Systeme und Daten besser vor sich entwickelnden Sicherheitsrisiken schützen.

Patches werden zwar bereitgestellt, aber häufig (wie in diesem Fall mit log4j) nicht schnell genug und es werden rasch neue CVEs identifiziert. Daher ist es für Unternehmen unerlässlich, dass ihre Anwendungen über eine umfassende Sicherheitsebene verfügen, unabhängig davon, wie viele Patches vorhanden und auf dem neuesten Stand sie sind. Der Schutz sowohl interner als auch webbasierter Apps mit einer Lösung wie dem Distributed Cloud Web App and API Protection (WAAP) von F5 ist von entscheidender Bedeutung, um die Sicherheitslücke zu schließen, während Unternehmen ihren Patch- und Update-Rückstand abarbeiten.


Ressourcen und wichtige Links: