Die Apache Log4Shell Zero-Day-RCE-Schwachstelle hat bei Unternehmen auf der ganzen Welt Alarm ausgelöst, und US-Regierungsbeamte bezeichnen sie als „eine der schwerwiegendsten Schwachstellen, die sie je gesehen haben“. Die Schwachstelle stellt eine potenzielle Bedrohung für fast jede einzelne Webanwendung dar, und die Liste der bekannten Exploits wird täglich länger.
Web Application Scanning-Funktionen sind für die Erkennung dieser Schwachstellen unerlässlich, da sie den Angriff der Log4Shell-Exploits simulieren. Um Kunden dabei zu helfen, sich vor dieser Bedrohung zu schützen, stellt Qualys seine WAS-App, die Webanwendungen und APIs auf die Log4Shell-Schwachstelle (CVE-2021-44228) scannt, für 30 Tage kostenlos zur Verfügung.
Qualys WAS erkennt durch seine Out-of-Band-Erkennungsmechanismen genau, welche Anwendungen für Log4Shell anfällig sind. Um anfällige Websites zu identifizieren, verwendet WAS speziell gestaltete Nutzdaten, die das gleiche Angriffsmuster simulieren, das böswillige Akteure verwenden.
Anfällige Sites werden schnell und einfach identifiziert, um Abhilfe zu schaffen und Angreifern keinen Zugang zu bieten, bevor diese überhaupt von der Schwachstelle wissen.
„Log4Shell ist die besorgniserregendste Schwachstelle, die wir in den letzten zehn Jahren gesehen haben. Die Unterstützung der Community bei der Bekämpfung dieser beispiellosen Bedrohung steht für uns an erster Stelle“, sagt Sumedh Thakar, President und CEO von Qualys.
„Viele Unternehmen suchen verzweifelt nach Wegen, um ihre Gefährdung durch Log4Shell zu erkennen. Wir hoffen, dass der kostenlose Zugang zu unserer App zusammen mit den Open-Source-Skripten, die wir veröffentlicht haben, Sicherheitsteams dabei helfen wird, ihre externe Web-Angriffsfläche schnell zu bewerten und zu sichern.“