Der Begriff Remote Code Execution (RCE) erhöht weltweit das Stresslevel der Cybersicherheitsexperten. RCE beschreibt einen Vorgang, bei dem ein Angreifer eine Schwachstelle in Hardware oder Software ausnutzen kann, um die Kontrolle über die Anwendung oder das System zu übernehmen und seine Befehle auszuführen, ohne dass der Benutzer oder die Sicherheitsteams davon wissen.
Bewertung des Schweregrads einer Schwachstelle
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt eine Liste von Schwachstellen und stuft sie nach ihrem Schweregrad zwischen 0 und 10 ein. Das Common Vulnerability Scoring System (CVSS) katalogisiert die einzelnen Schwachstellen in der Common Vulnerabilities and Exposures (CVE) – einer Liste mit öffentlichen Sicherheitsschwachstellen in Computersystemen – und vergibt Punktzahlen auf der Grundlage von Kriterien, die sich auf die Software auswirken.
Erhält eine Schwachstelle die Punktzahl 1.0, steht dies für einen geringen Schweregrad und ein geringes Risiko. Eine Punktzahl zwischen 9.0 und 10.0 deutet auf eine kritische Schwachstelle hin und weist auf ein sehr großes Bedrohungspotenzial hin. Im Falle einer Bewertung von 10.0 für eine Schwachstelle, wäre es einem Angreifer beispielsweise möglich, seinen Code aus der Ferne zu starten und dabei jegliche Authentifizierung auf dem Zielsystem zu umgehen. Zudem wäre die Gesamtkomplexität für den Angreifer gering, sodass er die Sicherheitslücke leicht auszunutzen kann.
Im Grunde könnte jeder, vom raffinierten Hacker bis zum Nationalstaat, die Kompromittierung eines Systems starten und es ohne großen Aufwand übernehmen.
Kombinierte Gefahr durch Log4j und RCE
Log4j ist eine Java-Protokollierungsanwendung, die Sicherheits- und Leistungsinformationen innerhalb anderer Java-basierter Anwendungen auf einem System protokolliert. Sie wird häufig in der Apache-Webdienstumgebung eingesetzt. Weltweit wird sie in über drei Milliarden Anwendungen und Systemen eingesetzt. Eine Schwachstelle in der Anwendung bot Cyberkriminellen im Wesentlichen eine Hintertür, durch die sie sich leicht Zugang verschaffen konnten.
Die Log4j-Schwachstelle wurde mit einem CVSS-Score von 10.0 eingestuft und erhielt die Kennung CVE-2021-45105. Diese Sicherheitslücke kann es Angreifern ermöglichen, eine manipulierte Netzwerkanfrage an ein System zu senden und die vollständige Kontrolle zu übernehmen, um Malware, Ransomware oder andere böswillige Aktionen zu starten.
Maßnahmen zur Risikominderung
Die weltweit anerkannten Fachleute der CISA (Cybersecurity and Infrastructure Security Agency), der US-amerikanischen Bundesbehörde, bieten folgende Ratschläge, die viele Cybersecurity-Richtlinien und -Standards zur Verringerung von Schwachstellen unterstützen:
- Überprüfen oder ermitteln Sie mit dem Internet verbundenen Systeme – und alle anderen Systeme innerhalb der Organisation –, die die anfällige Anwendung verwenden.
- Patchen Sie alle Systeme mit der neuesten Software-Version, sobald diese verfügbar ist.
-
- Testen Sie den Patch auf replizierten, nicht produktiven Systemen, um die Funktionalität zu überprüfen.
- Patchen Sie zuerst alle kritischen und mit dem Internet verbundenen Systeme, um das Risiko eines Angriffs zu verringern.
- Wenn Systeme den Patch nicht erhalten können, isolieren Sie sie und schränken Sie die Kommunikation und den Zugriff ein, bis das Risiko wirksam gemindert werden kann.
- Überwachen Sie den Netzwerkverkehr und die Anwendungen auf seltsame Muster, die mit der Schwachstelle zusammenhängen.
- Sicherheit ist der Prozess der Risikominderung. Das Risiko kann nie auf 0 reduziert werden, aber es kann gemindert, verwaltet und überprüft werden, um die Sicherheit eines Unternehmens zu gewährleisten.
Gewonnene Erkenntnisse
Die Log4j-Sicherheitslücke belastete im Dezember 2021 viele IT-Administratoren, Entwickler und CISOs sehr. Die Bedrohungslage ist sehr ernst, aufgrund der hohen kritischen Einstufung, des mangelnden Wissens und der Leichtigkeit, mit der eine Kompromittierung bei dieser Schwachstelle ausgeführt werden kann. Dies führte dazu, dass Unternehmen in kürzester Zeit ihre Systeme mit Patches versehen mussten, um das Risiko eines Angriffs zu verringern.
Es bleibt zu hoffen, dass die aus diesem Angriff gezogenen Lehren dazu geführt haben, dass Unternehmen Zero-Day-Schwachstellen mit dem Schweregrad 10.0 in ihre Playbooks aufgenommen haben und ihre Prozesse auf potenzielle Sicherheitslücken hin proaktiv überprüfen. Doch aufgrund von Zeit- und Personalmangel ist diese Sicherheitslücke in vielen Unternehmen noch nicht geschlossen worden.
KnowBe4 bietet ein On-Demand-Webinar an, in dem Kevin Mitnick, Chief Hacking Officer bei KnowBe4 („The World's Most Famous Hacker“) und Colin Murphy, Chief Information Officer bei KnowBe4, über ihre Erfahrungen mit der Log4j-Schwachstelle berichten.
Hier können die Unternehmen aus erster Hand erfahren, wie Netzwerkumgebungen mit diesem unglaublich einfachen Hack getestet werden. Zudem werden mögliche Konsequenzen der Ausnutzung dieser Schwachstelle und Abhilfemaßnahmen diskutiert.