Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Apache Log4j-Sicherheitslücke rückt Drittanbieter-Software ins Rampenlicht

Wie die Apache Log4j-Sicherheitslücke Drittanbieter-Software ins Rampenlicht rückt

Während Unternehmen auf der ganzen Welt darum ringen, die kritische Log4j-Schwachstelle, genannt Log4Shell, zu beheben, lautet die wichtigste Frage, die sich jeder Sicherheitsverantwortliche stellt: Wie finde ich heraus, ob diese Schwachstelle bei mir vorhanden ist?

Update vom 17. Dezember: Apache hat den Schweregrad von CVE-2021-45046, einer zweiten Log4j-Schwachstelle, von niedrig auf kritisch (9.0 CVSSv3) heraufgesetzt, da unter bestimmten Konfigurationen Remote Code Execution (RCE) möglich ist. Weitere Informationen finden Sie in diesem Beitrag in der Tenable Community.

Die schiere Allgegenwärtigkeit von Apache Log4j, einem Open-Source-Logging-Framework, macht die Beantwortung dieser Frage besonders schwierig.

Viele Unternehmen verwenden Log4j nicht nur in ihrem eigenen Quellcode, sondern es kommt auch in vielen der Produkte zum Einsatz, die diese Unternehmen von Dritten erwerben. Unternehmen, die den „Shift Left“-Ansatz für ihren Lebenszyklus der sicheren Softwareentwicklung (SSDL) übernommen haben, können ihren eigenen Quellcode analysieren, um die Schwachstelle in ihren eigenen Systemen zu finden und zu beheben.

Es ist ein SSDL-Ansatz erforderlich, der statische Tests der Anwendungssicherheit (SAST), dynamische Tests der Anwendungssicherheit (DAST), Überprüfung der Abhängigkeiten von Drittanbietern, Container-Sicherheitsscans, Schwachstellen-Management sowie Infrastructure as Code (IaC) umfasst. Aber selbst wenn all diese Verfahren vorhanden sind, wird es Unternehmen dennoch schwer fallen, alle Sicherheitsprobleme frühzeitig genug im Lebenszyklus aufzudecken. Schwachstellen-Management und Web Application Scanning sind ebenfalls von entscheidender Bedeutung, insbesondere im Hinblick auf Ihre Drittanbieter-Software. Die Feststellung, ob eine Schwachstelle vorhanden ist oder nicht, reicht allein nicht aus – Sie müssen auch den Grad des Risikos kennen, das diese Schwachstelle im Kontext der verschiedenen Anwendungen, Assets und Geschäftsprozesse in Ihrem Unternehmen darstellt.

Obwohl die jüngste Verfügung der Biden-Administration Unternehmen dazu anhält, eine Software-Bill-of-Materials (SBOM) zu erstellen, liefern die meisten Anbieter keine SBOMs für ihre Software. Und selbst wenn sie es täten, sind die meisten Unternehmen noch lange nicht so weit, dass sie über die Prozesse und Fähigkeiten verfügen, um diese effektiv nutzen zu können. Wenn also ein Vorfall wie log4j eintritt, bleibt den Cybersecurity-Verantwortlichen nur eine Möglichkeit: Ihre Drittanbieter anzurufen und sie zu fragen. Das ist mühsam, umständlich und zeitaufwändig und führt dazu, dass Unternehmen in Bedrängnis kommen, wenn Angreifer sich auf diese Schwachstelle stürzen.

Nur die FAQs: CVE-2021-45046, CVE-2021-4104:Häufig gestellte Fragen zu Log4Shell und damit verbundenen Schwachstellen.

Selbst in den ausgereiftesten Organisationen, in denen SSDL-Verfahren und SBOMs in den Prozessen verankert sind, bleiben Lücken, die es für Sicherheitsteams schwierig machen, diese entscheidenden fünf Fragen zu beantworten:

  1. Werden diese Software-Programme in unseren Umgebungen ausgeführt?
  2. Was ist mit unserer Infrastruktur?
  3. Wie sieht es in unseren eigentlichen Build-Pipelines aus?
  4. Was ist mit den Providern unserer Infrastruktur? (Dieser Punkt ist besonders wichtig, wenn Sie die Dienste von Cloud-Providern nutzen)
  5. Da die Analyse der Softwarezusammensetzung (Software Composition Analysis, SCA) nicht sämtliche Instanzen von Log4J aufdecken wird, haben wir andere Kontrollen wie Infrastructure as Code (IaC), Schwachstellen-Management und Web Application Scanning für alle Komponenten unseres Codes durchgeführt?

Unterm Strich bedeutet dies: Es gibt keine einfache Lösung für Log4j. Eine naheliegende Option – die Implementierung einer Web Application Firewall– hat sich bereits als relativ leicht umgehbar erwiesen. Ein verantwortungsbewusstes Unternehmen muss sich die Arbeit machen, seine Kernsoftware zu aktualisieren und zu verstehen, wie sich diese Sicherheitslücke auf das gesamte Risikoprofil auswirkt. Sobald die anfängliche Krise überwunden ist, wird die Versuchung groß sein, die Sache für erledigt zu erklären und sich anderen Dingen zuzuwenden. Unserer Meinung nach wäre das ein katastrophaler Fehler. Es ist längst an der Zeit, dass Unternehmen sich die Mühe machen, ihre Infrastruktur auf Vordermann zu bringen und ihre Systeme mit einem Ansatz zu warten, bei dem Sicherheit im Vordergrund steht.

Wir bei Tenable haben uns SSDL verschrieben und ergreifen die folgenden Maßnahmen als Reaktion auf Log4j:

  • Wir haben blockierende Gates, und in diesem Fall blockieren wir die Verwendung aller anfälligen Instanzen von Software, einschließlich Log4j. 
  • Wir führen aktiv und kontinuierlich Schwachstellenmanagement-Scans und Web-App-Scanning für unsere gesamte Infrastruktur sowie für vor der Veröffentlichung stehenden Produktcode durch, bevor dieser an Kunden ausgeliefert wird.
  • Darüber hinaus haben wir alle Indicators of Compromise (IoC) und Indicators of Attack (IoA) untersucht und Kontrollen auf Netzwerk- und Host-Ebene implementiert.

Wir werden weiterhin Threat Intelligence überwachen, um die Bedrohungslandschaft zu verfolgen und bei Bedarf entsprechende Anpassungen vorzunehmen. Letztendlich geht es bei jeder Reaktion auf einen Vorfall darum, zu wissen, was in Ihrer Umgebung vorhanden ist, Ihre Angriffsoberfläche zu kennen – einschließlich aller Drittparteien - und das Risiko möglichst schnell zu reduzieren. Es ist Eile geboten. Angreifer stehen stets in den Startlöchern, um sich auf die neuesten Schwachstellen zu stürzen und sie für ihre eigenen Zwecke auszunutzen. Unternehmen müssen alles daran setzen, ihre Vorgehensweisen jetzt auf den Prüfstand zu stellen, denn die Auswirkungen dieses Vorfalls werden Unternehmenssoftware noch über Jahre hinweg belasten.

Mehr erfahren

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable.io Vulnerability Management umfasst außerdem Tenable Lumin, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable.io Vulnerability Management umfasst außerdem Tenable Lumin, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

Tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable.io Web Application Scanning testen

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web Application Scanning umfasst außerdem Tenable.io Vulnerability Management, Tenable Lumin und Tenable.cs Cloud Security.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable.io Container Security testen

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Tenable Lumin-Testversion umfasst außerdem Tenable.io Vulnerability Management, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Tenable.cs testen

Profitieren Sie von vollem Zugriff, um Fehlkonfigurationen in Cloud-Infrastruktur zu erkennen und zu beheben und Schwachstellen in der Laufzeitumgebung anzuzeigen. Melden Sie sich jetzt für Ihre kostenlose Testversion an.

Ihre Tenable.cs Cloud Security Testversion umfasst außerdem Tenable.io Vulnerability Management, Tenable Lumin und Tenable.io Web Application Scanning.

Kontaktieren Sie einen Vertriebsmitarbeiter, um Tenable.cs zu kaufen

Kontaktieren Sie einen unserer Vertriebsmitarbeiter, um mehr über Tenable.cs Cloud Security zu erfahren und herauszufinden, wie einfach es ist, Ihre Cloud-Konten einzurichten und innerhalb von Minuten Einblick in Cloud-Fehlkonfigurationen und Schwachstellen zu erhalten.

Nessus Expert kostenlos testen

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie nutzen bereits Nessus Professional?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Sonderpreise bis 31. Dezember verlängert.
Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen