Aktuelles, Branche - geschrieben von dp am Mittwoch, Dezember 15, 2021 11:45 - noch keine Kommentare
Sicherheitslücke in Log4j: Schwachstelle bedroht Weihnachtsgeschäft
Schwachstelle könnte leicht ausgenutzt werden – Proof-of-Concept öffentlich verfügbar
[datensicherheit.de, 15.12.2021] Der durch die „Pandemie“ sowieso schon stark in Mitleidenschaft gezogene Einzelhandel sehe sich gerade im Weihnachtsgeschäft 2021 einer neuen Bedrohung ausgesetzt: Die kritische Schwachstelle, genannt Log4Shell, in der „Java“-Bibliothek „Log4j“ beunruhige seit dem 3. Adventswochenende 2021 Unternehmen und Behörden weltweit. Chris Vaughan, „Area Vice President“, „Technical Account Management“ bei Tanium, führt in seiner Stellungnahme aus: „Auch das BSI schlug bereits Alarm und warnte am Samstag vor einer extrem kritischen Bedrohungslage. Die Behörde hatte schließlich seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe ,Rot‘ hochgestuft, mit der Begründung, dass das betroffene Produkt sehr weit verbreitet sei und somit auch eine Vielzahl weiterer Produkte betreffe.“ Auch habe es aus Bonn geheißen, die Sicherheitslücke könnte leicht ausgenutzt werden, ein „Proof-of-Concept“ sei öffentlich verfügbar. In solchen Fällen könnten Angreifer betroffene Systeme vollständig übernehmen, dem BSI seien weltweit Massen-Scans und versuchte Kompromittierungen bekannt.
Schwachstelle die schlimmste, die Vaughan in seiner bisherigen Laufbahn gesehen hat…
Vaughan betont: „Diese Schwachstelle ist die schlimmste, die ich in meiner bisherigen Laufbahn gesehen habe, was die Anzahl der betroffenen Personen und Organisationen sowie die Schwere der möglichen Auswirkungen angeht.“ In den kommenden Tagen und Stunden werde er mit vielen Unternehmen über die Herausforderungen sprechen, denen sie sich bei der Erkennung und Behebung der Sicherheitslücke gegenübersähen.
Der Online-Handel sei ein Sektor, „der aufgrund der hohen Geldbeträge, die über diese Websites fließen, besonders ins Visier von Angreifern geraten wird“. Der Zeitpunkt des Auftretens dieser Sicherheitslücke sei besonders für diese Unternehmen ungünstig, da sie gerade jetzt, in der geschäftigsten Zeit des Jahres, so kurz vor Weihnachten, dringende Änderungen an ihren IT-Umgebungen vornehmen müssten. „Um die Auswirkungen so gering wie möglich zu halten, sollten sie denselben Rat befolgen, den ich Unternehmen aller Branchen geben würde, nämlich die Sicherheitslücke so schnell wie möglich zu schließen.“ Hierbei sollten sie zuerst mit den nach außen gerichteten Teilen ihrer IT-Infrastruktur beginnen, wie zum Beispiel ihrer Website, „bevor sie sich auf die internen Systeme konzentrieren“, so Vaughan.
Schwachstellen-Management-Tools könnten Log4Shell eventuell übersehen
Ein Fehler, der sich bei der Behebung des Problems in Unternehmen habe beobachten lassen, „ist, dass diese sich zu sehr auf herkömmliche Tools zur Verwaltung von Sicherheitslücken verlassen“. Diese Tools scannten installierte Anwendungen auf Probleme, „aber wenn ein Framework wie ,Log4j‘ umbenannt oder in einem anderen als dem Standardpfad installiert wurde, ist es wahrscheinlich, dass die Schwachstellen-Management-Tools diese übersehen“.
Aus diesem Grund sei es besser, eine Lösung zu verwenden, „die Konfigurationsstrings in Dateien analysiert“. Der Einsatz eines solchen Tools sei eine Möglichkeit, die Bedrohung durch solche Schwachstellen in Zukunft zu minimieren. Eine andere Möglichkeit wäre seiner Meinung nach, „Open-Source-Projekte wie ,Log4j‘ genauer unter die Lupe zu nehmen.“
Open-Source-Tools stärker auf potenzielle Schwachstellen überprüfen!
Diese Frameworks und Tools würden von Tausenden von Unternehmen eingesetzt, aber oft von Menschen in ihrer Freizeit als Hobbyprojekt betrieben. In der Regel sei es unklar, „wie viele Ressourcen für die Aufrechterhaltung von Sicherheitsstandards aufgewendet werden“, aber er glaube, dass Unternehmen dies in Zukunft vor dem Einsatz von „Open Source“-Tools stärker überprüfen würden.
Diese bedauerliche Nachricht sei eine weitere Erinnerung daran, wie wichtig Cyber-Hygiene und Asset-Management seien. „Wenn Unternehmen diese Grundlagen bereitgestellt haben, bevor es zu einem Vorfall kommt, sind sie in einer viel besseren Position, um entweder Schaden zu verhindern oder die Auswirkungen zu minimieren“, sagt Vaughan abschließend.
Weitere Informationen zum Thema:
Bundesamt für Sicherheit in der Informationstechnik
Kritische Schwachstelle in Java-Bibliothek log4j
datensicherheit.de, 15.12.2021
Log4Shell: Erste Ransomware-Attacken nutzen Schwachstelle aus / Amit Yoran ruft zu dauerhafter Wachsamkeit insbesondere gegenüber Schwachstellen auf
datensicherheit.de, 14.12.2021
Schwachstelle in Log4j: Hohes Risiko des Missbrauchs bereits angegriffener Systeme / Dr. Michael Littger warnt davor, dass noch viele Systeme mangels Update diese Schwachstelle aufweisen und somit ungeschützt vor Angriffen sind
datensicherheit.de, 14.12.2021
Angesichts der Log4Shell-Schwachstelle Aufruf zur Crowdsourced Security / Harmlose und normalerweise unangreifbare Funktion der Protokollierung droht zur Achillesferse des Internets zu werden
datensicherheit.de, 13.12.2021
Log4Shell: Bitkom zur Bedrohungslage durch neue Schwachstelle / Cyber-Kriminelle versuchen bereits aktiv, diese Schwachstelle auszunutzen
datensicherheit.de, 13.12.2021
Apache Log4j mutmaßlich größte und kritischste IT-Schwachstelle des letzten Jahrzehnts / Auch Tenable-CEO Amit Yoran warnt eindringlich vor Schwachstelle in Apache Log4j
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Sep 30, 2024 18:43 - noch keine Kommentare
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
weitere Beiträge in Branche
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
- NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko
- Frust in der IT-Abteilung: Erkenntnisse einer Sophos-Umfrage unter IT-Sicherheitspersonal
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren