Dark background with blue code overlay
Blog

Akamai-Empfehlungen zum Schutz gegen die Log4j-Sicherheitslücke

Akamai blue wave

Written by

Aparna Rayasam, SVP & GM Application Security, Akamai

December 16, 2021

log4j.png

Zusammenfassung

Eine kritische Schwachstelle, die Remote Code Execution ermöglicht, (CVE-2021-44228) wurde in Log4jgefunden, einem Open-Source-Dienstprogramm zum Protokollieren. Dieses kommt in vielen Anwendungen zum Einsatz und wird auch von großen Unternehmen verwendet. 

Diese Schwachstelle ermöglicht es Bedrohungsakteuren, von Systemen, auf denen Anwendungen ausgeführt werden, die die Bibliothek verwenden, Informationen zu stehlen und Schadcode auf diesen auszuführen, indem Protokollmeldungen manipuliert werden. Es gibt bereits Berichte von Servern, die internetweite Scans durchführen und so nach anfälligen Servern suchen. Unsere Threat Intelligence Teams sehen zudem viele Versuche, diese Schwachstelle auszunutzen. Da Log4j in so vielen gängigen Frameworks und Java-Anwendungen integriert ist, sind die Auswirkungen weitreichend.

Das umfassende Sicherheitsportfolio von Akamai, einschließlich Anwendungs- und API-Sicherheitslösungen, Enterprise Threat Protector und Segmentierungslösung von Guardicore, ist gut aufgestellt, um sich dieser Schwachstelle auf unterschiedlicher Weise anzunehmen. Es wird dringend empfohlen, dass Unternehmen Log4j auf die neueste Version aktualisieren – 2.16.0. Weil diese Schwachstelle derart umfassende Auswirkungen hat, werden Akamai-Teams weiterhin Maßnahmen zur Risikominimierung entwickeln und implementieren, um unsere Kunden zu unterstützen. 

Was genau ist die Log4j-Schwachstelle?

Am 9. Dezember 2021 wurde eine kritische Sicherheitslücke, die nicht authentifizierte Remote Code Execution und Datenextraktion ermöglicht (CVE-2021-44228) in Log4j gefunden. Dies führte zu erheblichen Bedenken, da die Open-Source-Protokollierungsfunktion sehr häufig verwendet wird. Durch diese weit verbreitete Nutzung in Kombination mit der einfachen Ausnutzung sind die Auswirkungen besonders gravierend. Die Schwachstelle wird aktiv ausgenutzt, und die Sicherheitsteams weltweit arbeiten daran, diese Sicherheitslücke zu analysieren und die Auswirkungen abzuschwächen.

Auf einem kompromittierten Computer kann ein Bedrohungsakteur Daten extrahieren und per Fernzugriff Software bereitstellen, die Log4j ausführt. Dadurch erhält ein Angreifer die Möglichkeit, willkürliche Befehle innerhalb eines Servers auszuführen, wodurch Informationen und Geheimnisse zugänglich werden. Außerdem kann dieser Server als Ausgangspunkt für zusätzliche Angriffe verwendet werden – möglicherweise gegen tief innerhalb eines Netzwerks gesicherte Computer ohne direkten Internetzugriff.

Entwickler in der Java-Welt nutzen Log4j umfassend, um Fehler und Debug-Informationen zu protokollieren. Daher können Produktanbieter gefährdet sein, deren Software auf Java basiert. Selbst wenn eine Anwendung Log4j nicht direkt verwendet, greifen viele gängige Tools und Frameworks intern auf Log4j zurück und können daher diese Schwachstelle in den Anwendungs-Stack einbringen.  

Wie hoch ist der Schweregrad der Log4j-Sicherheitslücke einzuschätzen?

Obwohl Akamai am 9. Dezember erste Exploit-Versuche der Log4j-Schwachstelle beobachtet hat, haben wir inzwischen immer mehr Beweise, die darauf schließen lassen, dass die Schwachstelle bereits seit Monaten ausgenutzt wurde. Seit die Schwachstelle publik wurde, haben wir mehrere Varianten des Exploits bei einer anhaltenden Rate von rund zwei Millionen Angriffsversuchen pro Stunde beobachtet. Die Varianten entwickeln sich mit beispielloser Geschwindigkeit. 

Mehr als die Hälfte (ca. 57 %) der bisher beobachteten Angriffe stammt von Angreifern, die in der Threat Intelligence-Datenbank von Akamai zuvor als schädliche Akteure eingestuft wurden. Wir gehen davon aus, dass wir aufgrund der schieren Menge ungepatchter Systeme auch in den kommenden Monaten Exploit-Versuche beobachten werden. Die Security Research Teams und Incident Response Teams von Akamai überwachen und schützen weiterhin unsere Infrastruktur sowie unsere Kunden und nutzen dabei unsere einzigartige Transparenz und Intelligenz.

Die wichtigste Maßnahme, die bei einer derartigen Schwachstelle durchzuführen ist, besteht im Patchen infizierter Systeme. Sicherheitsforscher sind sich allerdings darüber im Klaren, dass dies Zeit in Anspruch nimmt. In vielen Fällen haben Unternehmen noch nicht einmal einen Überblick darüber, welche Systeme anfällig sind. Daher müssen zusätzliche Maßnahmen ergriffen werden, um die Angriffsfläche so weit wie möglich zu reduzieren.

Akamai hat eine Reihe von Empfehlungen, um hier für Abhilfe zu sorgen. Zu diesem Zeitpunkt ist der größte Angriffs-Traffic, den wir hinsichtlich Log4j beobachten, webanwendungsbasiert. Die wirkungsvollste Maßnahme (abgesehen vom Patchen) ist die Nutzung des Webanwendungs- und API-Schutzes von Akamai. Lesen Sie weiter, um zu erfahren, wie und was Sie in Ihrem Unternehmen tun können, wenn sich Angriffsvektoren weiterentwickeln. 

Abwehr von Log4j-Exploits mit der Webanwendungs- und API-Schutz von Akamai

Akamai aktualisiert die Regeln der Web Application Firewall (WAF) kontinuierlich, um Schutz vor diesem Exploit und seinen vielen Varianten zu bieten. Dazu gehört auch die Aktualisierung von Regel 3000014 für das Kona Rule Set von Akamai und der Adaptive Security Engine. Für Kunden, die Automated Attack Groups verwenden, haben wir die Command-Injection-Gruppe aktualisiert. Alle Kunden, die diese Regeln oder Angriffsgruppen derzeit im DENY-Modus aktiviert haben, erhalten einen automatischen Inline-Schutz für die folgenden Schutz-Engines und -Versionen:

  • Kona Rule Set: jede Version ab dem 29. Oktober 2019

  • Automated Attack Groups: jede Version

  • Adaptive Security Engine: jede Version

Viele Server, vor allem solche in Umgebungen mit hohem Risiko, wenn sie z. B. direkt mit dem Internet erreichbar sind, wurden möglicherweise bereits kompromittiert. Mit dem folgenden Befehl können Exploit-Versuche angezeigt werden, um Indicators of Compromise zu identifizieren:

sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns)://' /var/log

Wenn Sie mehr über den Webanwendungs- und API-Schutz von Akamai erfahren möchten, finden Sie hier weitere Informationen, oder kontaktieren Sie uns.

WAF-Schutzmaßnahmen können in dieser Phase für Webserver zwar sehr effektiv sein, doch Unternehmen sollten auch alternative Angriffsvektoren in Betracht ziehen, die zu einer Kompromittierung geführt haben könnten. Daher empfehlen wir den Einsatz von Mikrosegmentierung, um die Sichtbarkeit möglicher Risiken zu erhöhen sowie diese Risiken und die Verbreitung zu reduzieren. 

Erkennen von Log4j-Exploits mit Enterprise Threat Protector

Akamai-Bedrohungsforscher haben DNS-, Proxy- und Sinkhole-Daten von Kunden auf ungewöhnliches Verhalten im Zusammenhang mit den Akteuren untersucht, die die Log4j-Schwachstelle im freien Internet nutzen wollen. Bei den DNS-Daten wurden DNS-Abfragen für Domains überraschenderweise mit der Zeichenfolge „jndi:ldap“ angezeigt. Dies sind ungültige DNS-Abfragen, die ungültige Zeichen im Domain-Namen enthalten und daher nicht aufgelöst werden können. Darüber hinaus haben wir Traffic zu bekannten schädlichen Domains beobachtet, die an Sinkhole-Server umgeleitet wurden. Diese Domänen hosteten schädlichen Java-Code, der für den Exploit anfälliger Server verwendet wurde. All dies sind Anzeichen für Angriffe auf Kundennetzwerke. 

Abwehr von Log4j-Exploits mit Akamai Guardicore Segmentation

Kunden, die Akamai Guardicore Segmentation verwenden, können die Transparenz auf Prozessebene nutzen, um anfällige Anwendungen und Sicherheitsrisiken in der Umgebung zu identifizieren. Auf diese Weise kann der Netzwerk-Traffic präzise gesteuert werden, um Angriffe auf anfällige Systeme zu stoppen, ohne den normalen Betrieb zu unterbrechen.

Was gefährdet ist: Identifizieren anfälliger Java-Prozesse und Log4j-Exploits

Um sich vor einem potenziellen Log4j-Exploit zu schützen, müssen zunächst potenziell anfällige Prozesse identifiziert werden. Dies erfordert einen umfassenden Einblick in den Netzwerk-Traffic auf Prozessebene, der von Akamai Guardicore Segmentation bereitgestellt wird. Dank der präzisen Einblicke in Internetverbindungen und Traffic können wir klar erkennen, welche Maßnahmen zur Schadensbegrenzung ergriffen werden müssen, ohne den Betrieb zu unterbrechen. 

Stoppen des Angriffs: Blocken schädlicher IoCs und Angriffsvektoren

Sobald anfällige Anwendungen identifiziert wurden, müssen Sie Maßnahmen ergreifen. Während der Patch aufgespielt wird, bietet Akamai Guardicore Segmentation eine Vielzahl von Optionen für das Warnen im Angriffsfall sowie das Stoppen und Verhindern von Angriffen. Entscheidend ist, dass eine Lösung mit detaillierter und präziser Kontrolle über Netzwerkkommunikation und Traffic zum Einsatz kommt, um Angriffsvektoren mit chirurgischer Präzision zu blockieren oder zu isolieren – all dies bei minimaler oder bestenfalls gar keiner Unterbrechung des normalen Betriebs. Zu den anderen Umsatzquellen gehören:

  • Automatisches IOC-Blocken mit Threat Intelligence Firewall (TIFW) und DNS-Sicherheit 

  • Kompromittierte Server vollständig unter Quarantäne stellen 

  • Blockieren Sie eingehenden und ausgehenden Traffic zu anfälligen Ressourcen 

  • Blockieren Sie ausgehenden Traffic von Java-Anwendungen zum Internet

Darüber hinaus werden die Umgebungen von Kunden mit Guardicore Hunt kontinuierlich von einem dedizierten Team von Sicherheitsexperten überwacht und untersucht. Warnungen zu Sicherheitsrisiken und empfohlene Abhilfemaßnahmen werden sofort gesendet.  

Wenn Sie mehr über Akamai Guardicore Segmentation erfahren möchten, finden Sie hier weitere Informationen oder kontaktieren Sie uns.

Fazit

Akamai wird seine Erkenntnisse weiterhin direkt an seine Kunden weitergeben. Wir werden die Log4j-Exploits genau überwachen, untersuchen und zeitnah Updates zu unseren Schutzmaßnahmen und Funktionen bereitstellen.



Akamai blue wave

Written by

Aparna Rayasam, SVP & GM Application Security, Akamai

December 16, 2021