Von Log4Shell, das als eines der größten Cybersicherheits-Risiken der IT-Geschichte angesehen wird, ist auch die Operational Technology betroffen. Welche Gefahren sich für Industrie-Unternehmen ergeben und was diese jetzt tun sollten, um sich und ihre Kunden zu schützen.
Der Autor Gunnar Knüpffer ist freier Journalist in München.
Nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 9. Dezember 2021 vor einer Sicherheitslücke in der Java-Bibliothek Log4j namens Log4Shell gewarnt hatte, wird nun das ganze Ausmaß der Gefährdung sichtbar.
Laut dem Research Team Unit 42 des IT-Sicherheitsunternehmens Palo Alto Networks reichen die beobachteten Aktivitäten nach der Ausnutzung der Sicherheitslücke von der einfachen Identifizierung verwundbarer Server über Massenscans bis hin zur Installation von Backdoors, um sensible Informationen unerlaubt zu transferieren und zusätzliche Tools zu installieren. Dabei geht es auch um die Installation von Software zum Münzschürfen für finanzielle Zwecke.
Den Telemetrie-Daten des Cybersicherheits-Unternehmens Tenable zufolge wurde Log4Shell bereits in etwa zehn Prozent der untersuchten Assets gefunden, darunter auf einer Vielzahl von Servern, Webanwendungen, Containern und IoT-Geräten in allen Branchen und Regionen.
„Das betrifft nicht nur den Code, den Unternehmen erstellen, sondern auch Systeme von Drittanbietern“, erläutert der CEO und Chairman von Tenable, Amit Yoran. „Alles, vom neuen Drucker bis zum Ticketing-System, ist potenziell von dieser Schwachstelle betroffen.“ Einige der betroffenen Systeme würden sich vor Ort befinden, andere werden in der Cloud gehosted – die Auswirkungen der Schwachstelle würden überall zu spüren sein.
Log4Shell betrifft auch Netzwerke der Operational Technology
„Log4Shell gilt mittlerweile als eines der größten Cybersicherheitsrisiken der IT-Geschichte, aber viele Unternehmen ergreifen immer noch keine ausreichenden Gegenmaßnahmen“, sagt Yoran. Während vor Jahren EternalBlue weitreichende Angriffe wie WannaCry verursachte, sei das Potenzial hier viel größer, weil Log4j sowohl in der Infrastruktur als auch in Anwendungen weit verbreitet sei. Log4Shell werde die Datenverarbeitung, wie wir sie kennen, neu definieren.
Log4j ist nicht nur ein IT-Sicherheitsproblem, sondern betrifft nach Einschätzung des Mitbegründers und CTO von Otorio, Yair Attar, auch Netzwerke der Operational Technology (OT). „Nicht zuletzt durch die fortschreitende Digitalisierung in der Industrie stellt diese Schwachstelle für Unternehmen eine komplexe und risikoreiche Situation dar“, ergänzt Erwan Smits, IT-Security Consultant bei Atos.
IIoT öffnet Cyber-Kriminellen Tür und Tor? Nicht mit der richtigen Sicherheits-Strategie
„Eine der größten Herausforderungen im Vergleich zu früheren Supply-Chain-Angriffen bestand zunächst darin, genau zu bestimmen, was alles betroffen ist“, sagte Attar. Nachdem die Schwachstelle in einer Bibliothek gefunden wurde, die in vielen Produkten zum Einsatz kommt, müssen Maschinenbauer, Systemhersteller und Anwendungsanbieter nun ihren Kunden mitteilen, welche ihrer Systeme betroffen sind, Patches veröffentlichen sowie Pläne zur Schadensbegrenzung vorlegen.“ Dies könne dauern.
4 Sofortmaßnahmen gegen Log4Shell
Laut Attar ist es sinnvoll, vier Sofortmaßnahmen zur Verteidigung gegen Log4Shell vorzunehmen:
- Eine schnelle „Härtung“ der gefährdeten Systeme: Dies erfolgt durch die Blockierung von Indication of Compromises (IOC) in Perimeter-Lösungen wie Firewalls, Intrusion Detection Systemen (IDS), Intrusion Prevention Systemen (IPS) und Web Application Firewalls (WAF).
- Die Bedrohung muss identifiziert werden: So lässt sich die Angriffsfläche verringern durch Scannen mit einem Tool, das automatisch und passiv OT-, IoT- und IT-Umgebungen auskundschaftet, um Assets zu erfassen, sobald diese von einem potenziellen Angreifer entdeckt werden
- Entschärfung und Patching: Ist Letzteres nicht möglich, gilt es das betroffene System so weit wie möglich zu isolieren.
- Überwachung, um Exploit-Versuche und verdächtige Aktivitäten zu erkennen.
Das Open-Source-Logging-Framework Apache Log4j, das seit 2015 verfügbar ist, ermöglicht eine einfache und flexible Verwendung, war aber nach Ansicht von Fachleuten bereits in der Vergangenheit anfällig.
Mit der Apache Log4j-Bibliothek können Entwickler verschiedene Daten innerhalb ihrer Anwendung protokollieren. Unter bestimmten Umständen stammen die zu protokollierenden Daten aus Benutzereingaben.
Wenn diese Sonderzeichen enthalten und anschließend im Kontext von Log4j protokolliert werden, wird schließlich die Java-Methode „lookup“ aufgerufen, um die benutzerdefinierte Remote-Java-Klasse im LDAP-Server auszuführen. Dies wiederum führt zu einer Remote-Codeausführung auf dem Server des Angriffsopfers, der die verwundbare Log4j 2-Instanz verwendet.
Angesichts der aktuellen Bedrohung müssen daher alle erforderlichen Maßnahmen ergriffen werden, um sich vor dieser Sicherheitslücke zu schützen.
Wurden Ihre Daten abgegriffen? HPI bietet Tool zur Überprüfung an
Die Verteidiger benötigen laut Avi Shua, CEO von Orca Security, eine lückenlose Inventarisierung ihrer Cloud-Umgebung und aller anfälliger Ressourcen.
Sie müssten zudem diejenigen Ressourcen priorisieren können, die dem Internet ausgesetzt sind und das größte Risiko darstellen. Dabei könne eine Cloud-Native Application Protection Platform (CNAPP) helfen.
Das Patchen und Entschärfen solcher Schwachstellen sei zwar eine echte Herausforderung, sagte Shua, aber weitaus besser als im Dunkeln zu tappen und nicht zu wissen, welcher Teil der Umgebung gefährdet ist.
Wie Software- und Cloudanbieter auf Log4Shell reagieren
Die großen Software-Unternehmen haben aktuell ihre Programme analysiert und weisen Anwender auf Sicherheitsmaßnahmen in Bezug auf Log4j hin. So untersuchte Siemens, welche Produkte betroffen sind, und veröffentlichte zwei weitere Schwachstellen für Apache Log4j.
Amazon Web Services (AWS) stellte einen von Amazon entwickelten Java-Hotpatch für seine Services bereit. Der Hotpatch aktualisiert die Java Virtual Machine, um das Laden der Java Naming and Directory Interface (JNDI)-Klasse zu deaktivieren, und ersetzt sie durch eine harmlose Benachrichtigungsnachricht, die CVE-2021-44228 und CVE-2021-45046 mildert. Trotz dieses Hotpatches sollten Kunden laut AWS so schnell wie möglich eine aktualisierte Log4j-Bibliothek nutzen, in Kürze will auch das Unternehmen eine überarbeitete Log4j-Bibliothek für alle seine Services anbieten.
Microsoft veröffentlichte eine Liste seiner betroffenen Produkte, die ein Eingreifen des Kunden erfordern, in seinem Security Update Guide. Der Software-Gigant empfiehlt, diese Updates so schnell wie möglich zu installieren. Wenn Anwender andere Microsoft-Dienste verwenden, die nicht explizit in der CVE-Liste aufgeführt sind, müssten Sie zu diesem Zeitpunkt nichts unternehmen. Im Zuge weiterer Untersuchungen plant Microsoft, betroffene Anwender zu benachrichtigen, wenn das Unternehmen Auswirkungen auf Kundendaten feststellt.
