Aktueller Kommentar von Qualys zu Log4Shell

qualys-1

Die neuartige Sicherheitslücke Log4Shell hält Sicherheitsverantwortliche in Atem und wird auch weiterhin die IT-Sicherheit in Unternehmen gefährden. Das gesamte aktuelle und zukünftige Ausmaß der Schwachstelle ist derzeit noch nicht absehbar.

Mehul Revankar, Qualys

„Aufgrund der Tatsache, dass Log4Shell so grundlegend und allgegenwärtig ist, ist der Schweregrad und die Angriffsfläche, die die Schwachstelle bietet, unübertroffen“, sagt Travis Smith, Director of Malware Threat Research bei Qualys. „Mit dieser Schwachstelle werden sich junge Leute, wenn sie sich für eine Karriere im Bereich der Cybersicherheit entscheiden, noch in fünfzehn Jahren beschäftigen.

Es handelt sich um eine Schwachstelle für die Remote-Code-Ausführung (RCE). Sie wird raffinierten Angreifern wie Conti großen Erfolg bescheren, da sie laterale Bewegungen, Aufklärungsbemühungen und letztendlich die Verbreitung von Ransomware ermöglicht. Hinzu kommt, dass Log4Shell zu einer Zeit auftritt, in der Mitarbeiter verzweifelt versuchen, den Posteingang noch vor den Feiertagen abzuarbeiten. Da die jüngste Version eine Ausnutzung über lokale Systeme ermöglicht, ist menschliches Versagen ein wichtiger Angriffsvektor. Unternehmen müssen sich daher über ihre Grenzen hinaus – oder besser gesagt: innerhalb ihrer Grenzen – absichern, um ihre Daten zu schützen.

Diese Sicherheitslücke ist offensichtlich neu für Verteidiger, aber auch neu für böswillige Akteure. Je besser sie verstanden wird, desto mehr wird sie für Malware und insbesondere für Ransomware-Angriffe genutzt werden. Die Ausnutzung dieser Schwachstelle wird sich auf neuartige Weise entwickeln, wobei Branchen wie beispielsweise die Fertigung, in denen schwer gepatcht werden kann, zu einem beliebten Angriffsziel werden. Log4Shell wird letztendlich zu einem wichtigen Angriffspunkt für böswillige Akteure, die es auf kritische Infrastrukturen abgesehen haben.“

Mehul Revankar, VP von VMDR (Vulnerability Management, Detection, and Response) bei Qualys sagt: „SolarWinds, Colonial Pipeline, MSFT Exchange und jetzt Log4Shell… es ist immer wieder die Rede davon, dass diese Ereignisse ein „Weckruf“ sind. Aber alles, was wir bisher getan haben, war, die Schlummertaste zu drücken. Log4Shell bietet jedoch ein noch nie dagewesenes Ausmaß und aufgrund der Tatsache, dass die Schwachstelle nicht leicht aufzufinden ist, ist sie für mich die risikoreichste Schwachstelle, die ich in meiner zwei Jahrzehnte währenden Amtszeit im Bereich der Cybersicherheit gesehen habe.

Eine bewährte Praxis der Cybersicherheit ist es, auf mehr Protokollierung zu drängen. In diesem Fall gilt jedoch: Je mehr protokolliert wird, desto anfälliger ist man. Wir haben ein globales Fortune 50-Herstellungsunternehmen, dessen CISO die Anweisung gegeben hat, alle Server vollständig vom Netz zu nehmen, wenn die Log4Shell-Schwachstellen innerhalb weniger Tage nicht behoben sind. Log4Shell ist so schwerwiegend, dass Unternehmen sich weigern, Systeme online zu stellen, solange sie nicht wissen, dass diese Bedrohung beseitigt ist. Hinzu kommt die Sorge darüber, dass Mitarbeiter auch menschlichen Ausbeutungsversuchen zum Opfer fallen werden.“