Log4Shell: 5 Maßnahmen, die die OT-Community umgehend ergreifen sollte

OT-Umgebungen (Operational Technology) sind durch die Apache Log4j-Schwachstelle ebenfalls gefährdet. Hier erfahren Sie, was Sie jetzt sofort unternehmen können.

Das Internet ist in Aufruhr, aber das wussten Sie ja schon. CVE-2021-44228: Log4j Remote Code Execution-Schwachstelle (Log4Shell) wird als eine der am weitesten verbreiteten und potenziell weitreichendsten Schwachstellen aller Zeiten eingestuft. Log4j ist eine quelloffene Java-Protokollierungsbibliothek, die von Entwicklern intensiv genutzt wird. Die Tatsache, dass Drittanbieter-Bibliotheken für zentrale Funktionen verwendet werden, ist nicht nur ein IT-Problem. Log4j ist auch in Umgebungen mit operativer Technologie (OT) eingebettet. In der Tat veröffentlichen OT-Anbieter bereits Sicherheitshinweise dazu, wie ihre Produkte betroffen sind. 

In den kommenden Wochen und Monaten werden wir beginnen, die Verbreitung und das Ausmaß dieser konkreten Schwachstelle in OT-Infrastrukturen zu verstehen. Mit Sicherheit wird Log4j jedoch für kritische OT-Protokollierungsfunktionen verwendet, wodurch das betreffende System für triviale Remote-Code-Ausführung anfällig ist. Aber selbst wenn Sie diese Bibliothek nicht in Ihrer OT-Infrastruktur einsetzen, können Sie dennoch gefährdet sein.

Da Unternehmen ihren IT- und OT-Betrieb konvergiert haben, wäre es nicht das erste Mal, dass ein Angriff sich zwischen IT und OT ausbreitet. Selbst wenn Ihre Anlage vollständig durch Air-Gapping abgeschottet ist, besteht eine überdurchschnittlich hohe Wahrscheinlichkeit, dass eine „unbeabsichtigte Konvergenz“ stattgefunden hat. Ohne konkrete Maßnahmen zur Absicherung der OT-Infrastruktur kann Ihr Betrieb gefährdet sein. 

Nur die FAQs: CVE-2021-45046, CVE-2021-4104:Häufig gestellte Fragen zu Log4Shell und damit verbundenen Schwachstellen.

Im Folgenden finden Sie fünf Maßnahmen, die Sie ergreifen sollten, um Ihre OT-Umgebung gegen Log4j abzusichern:

1. Befolgen Sie die offiziellen Leitlinien. Organisationen wie die U.S. Cybersecurity and Infrastructure Security Agency (CISA) haben spezielle Leitlinien herausgegeben. Es ist von entscheidender Wichtigkeit, dass Sie mit diesen Anweisungen vertraut sind und sie kontinuierlich befolgen. Wenn Ihr Unternehmen die Frameworks von MITRE, dem U.S. National Institute of Standards and Technology (NIST), dem britischen Network and Information Systems (NIS) sowie der North American Electric Reliability Corporation (NERC) befolgt und sich darauf stützt, kann es Best Practices etablieren, um gegenüber dynamischen Bedrohungen wachsam zu bleiben.
2. Kennen Sie Ihren Bestand genau. Die Inventarisierung von Assets ist ein zentraler Bestandteil eines jeden Sicherheitsprogramms und kann ein umfassendes Lagebild vermitteln. Dazu gehört mehr, als nur Hersteller und Modell von allen Geräten in Ihrer Umgebung zu erfassen. Vielmehr müssen Sie über eine aktuelle Bestandsaufnahme von Firmware-Versionen, Revisionsnummern, Kommunikationspfaden, Zugriffsrechten und vielem mehr verfügen. Die Netzwerküberwachung allein kann nur einen Teil der Informationen liefern; darüber hinaus sind aktive und gerätespezifische Abfragen erforderlich, um die genauen Details zu ermitteln.
3. Führen Sie einen gezielten Scan der IT-Assets durch. Sobald Sie über eine gute Bestandsaufnahme Ihrer Assets verfügen, sollten Sie in der Lage sein, einen Schwachstellen-Scan durchzuführen, um festzustellen, wo Sie noch betroffen sein könnten. Tenable Research hat die Signaturen zur Erkennung des Log4j- oder Log4Shell-Exploit identifiziert und zur Verfügung gestellt. Unsere aktuellen Versionen von Plugins finden Sie hier. Es empfiehlt sich, einen gezielten Scan mit neu veröffentlichten Plugins durchzuführen, um risikobehaftete Elemente zu identifizieren. 
4. Machen Sie sich ein breitflächigeres Bild von Ihrer OT-Exposition. Eine Best-Practice-Vorgehensweise besteht darin, eine solide Scan-Option wie etwa Nessus zu nutzen, um einen Schwachstellen-Scan Ihrer IT-Assets durchzuführen, und eine OT-spezifische Option wie Tenable.ot speziell für Ihre OT-Assets einzusetzen. Tenable.ot beinhaltet außerdem auch Nessus und führt Schwachstellenprüfungen sowohl für IT- als auch für OT-Assets durch. Spezielle Sicherheitsvorkehrungen sorgen dafür, dass Nessus nur IT-Assets scannt, während Tenable.ot sich um OT-Assets kümmert. 
5. Gehen Sie bei der Reduzierung von Risiken proaktiv vor. Wenn Sie sich nur auf Intrusion Detection-Warnmeldungen verlassen, um Sie vor einer Kompromittierung oder einem ausgenutzten System zu warnen, ist es bereits zu spät. Bei der Bewertung von Bedrohungen müssen stets die aktuellsten Informationen und Quellen berücksichtigt werden. In den meisten Umgebungen sind IT- und OT-Netzwerke bereits miteinander vernetzt und Bedrohungsakteure machen sich diese Konvergenz zunutze. Wenn Sie befürchten, dass Log4j in Ihrer Umgebung bereits ausgenutzt wurde, kann Tenable Sie unterstützen. 

Längerfristig muss die gesamte Community im Bereich Fertigung und kritische Infrastrukturen ein besseres Verständnis dafür entwickeln, was in den Systemen zum Einsatz kommt. Nur so ist es möglich, das umfassende Lagebewusstsein zu erlangen, das notwendig ist, um neue Bedrohungen abzuwehren, sobald sie in Umlauf gebracht werden. Durch eine im Mai 2021 erlassene Verordnung der US-Regierung wurde die „Software Bill of Materials“-Initiative (SBOM) ins Leben gerufen. Eine SBOM kann Endbenutzern die nötige Transparenz bieten, um zu wissen, ob ihre Produkte mit anfälligen Softwarebibliotheken arbeiten.

Es besteht kein Zweifel daran, dass wir uns noch jahrelang mit der Log4j-Schwachstelle beschäftigen werden, und leider wird es in Zukunft mit Sicherheit noch weitere Schwachstellen geben. Mit den richtigen Mitarbeitern, Prozessen und Technologien können Unternehmen auf der ganzen Welt schnell und kollektiv risikobasierte Entscheidungen treffen, um die Folgen von Schwachstellen wie Log4Shell zu minimieren und die kritischen Infrastrukturen der Welt zu schützen.

Michael Rothschild, Senior Director für OT-Lösungen bei Tenable, hat ebenfalls zu diesem Blog-Artikel beigetragen.

Mehr erfahren

• Besuchen Sie das Tenable-Lösungscenter für Log4j: https://www.tenable.com/log4j
• Lesen Sie die SRT-Warnung: CVE-2021-44228: Proof-of-Concept für kritische Remote Code Execution-Schwachstelle in Apache Log4j verfügbar (Log4Shell)
• FAQs lesen: CVE-2021-44228, CVE-2021-45046, CVE-2021-4104: Häufig gestellte Fragen zu Log4Shell und damit zusammenhängenden Schwachstelen
• Lesen Sie die Perspektive unseres CISO: Apache Log4j-Sicherheitslücke rückt Drittanbieter-Software ins Rampenlicht
• Besuchen Sie unsere User-Community, um mehr darüber zu erfahren, wie Tenable helfen kann: https://community.tenable.com/s/