Keine Panik trotz Alarmstufe Rot
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Alarmstufe Rot ausgerufen und auch das Schweizer Cybersicherheitszentrum hat dringende Empfehlungen herausgegeben. Sogar Massenmedien haben bereits über die Schwachstelle berichtet: log4j, das weit verbreitete Logging-Framework für Java, weist eine kritische Sicherheitslücke auf, die bereits aktiv ausgenutzt wird. Ein Grossteil aller in Java geschriebenen Anwendungen und APIs sind potentiell gefährdet. Java's Erfolgsfaktor "Write once, run everywhere" wird nun zum Bumerang.
Das Problem ist aus zwei Gründen gravierend: Erstens ist Log4j ein weit verbreitetes Logging-Framework für Java — so populär, dass es in diverse andere Programmiersprachen übersetzt wurde. Weltweit dürften deshalb Millionen von Systemen verwundbar sein, auch prominente Hersteller wie Google, Apple oder Tesla sind betroffen. Und zweitens lässt sich mit wenig Aufwand viel Schaden anrichten: Gefahr besteht dann, wenn Log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren. Mit einer einfachen Zeichenkette lässt sich Log4j dazu bewegen, zusätzlichen Programmcode von einem Server im Internet nachzuladen. Ein Angreifer kann also beliebigen Schadcode injizieren und so Firmen von innen angreifen.
Application Security Testing reicht nicht aus
Immer mehr Entwickler prüfen ihren eigenen Code und fremde Bibliotheken wie Log4j automatisiert auf Schwachstellen. Das ist ein grosser Schritt vorwärts für die Anwendungssicherheit, weil es das Problem an der Wurzel anpackt. Es ist allerdings trügerisch, sich auf eine Datenbank von bekannten Schwachstellen zu verlassen. Application Security Testing hilft zwar bei der Erkennung einer möglichen Schwachstelle, schützt aber nicht davor. Wenn ein solches Tool Alarm schlägt, dauert es oft Tage oder Wochen, bis die Korrektur ausgerollten werden kann. Manchmal ist es gar unmöglich, alle betroffenen Systeme zu patchen.
Verschaffen Sie sich Zeit mit Virtual Patching
Eine saubere Lösung benötigt Zeit. Natürlich sind die Entwickler bereits daran, auf die neuste Log4j-Version umzustellen. Das grössere Problem dürfte jedoch sein, die betroffenen Systeme erst mal zu identifizieren. Je nach Softwarelösung gibt es zusätzliche Ansätze, die Schwachstelle zu mitigieren, diese müssen aber sorgfältig auf Ihre Effektivität getestet werden. So oder so dürften noch mehrere Wochen vergehen, bis alle Systeme geschützt sind.
Jetzt in Panik auszubrechen wäre aber kontraproduktiv. Denn es gibt eine wirksame Sofortmassnahme, um Zeit zu gewinnen: Virtual Patching. Eine vorgeschaltete Application Firewall (WAF) bzw. ein API Security Gateway erkennt die gefährlichen Inhalte und blockiert sie, noch bevor sie auf das verwundbare System treffen. Damit hat man die Wahrscheinlichkeit eines erfolgreichen Angriffs stark reduziert und die IT kann in Ruhe die betroffenen Systeme patchen. Auch das Nationale Cyber Security Center empfiehlt, die Sicherheitsregeln einer WAF falls notwendig zu aktualisieren.
Gehärtete Sicherheitsregeln dank Bug Bounties
Die Herausforderung einer WAF besteht darin, nicht nur die offensichtlichen Formen eines Angriffs zu erkennen, sondern eine ganze Klasse von komplexen Abwandlungen. Das setzt voraus, dass die Filterregeln einer WAF kontinuierlich weiterentwickelt und gehärtet werden. Bei Airlock Gateway setzen wir dafür auf ein Bug Bounty Programm. Hacker aus aller Welt werden dafür bezahlt, die Filterregeln von Airlock zu umgehen. Wer es schafft, die Schutzmechanismen auszutricksen, erhält eine attraktive Belohnung (Bounty). Einer der Hacker machte uns in diesem Zuge ein Kompliment: Im Gegensatz zu anderen Produkten habe er sich bei Airlock die Zähne ausgebissen.
Tägliches Brot für Sicherheitsprofis
Die Airlock Engineers sind es sich gewohnt, dass regelmässig neue Sicherheitslücken auftauchen, auch wenn viele davon in der Presse keine grosse Beachtung finden. Nur schon die heiklen Schwachstellen in der Transportverschlüsselung TLS füllen mehrere Bildschirmseiten. Es ist Teil unseres Jobs, auf neue Bedrohungen zu reagieren und künftige Angriffsszenarien so weit wie möglich zu antizipieren. Und so haben wir auch diese Schwachstelle analysiert und alle nötigen Anpassungen in Airlock vorgenommen.
Fazit
- Die Anwendungssicherheit sollte in allen Phasen des Software-Lebenszyklus adressiert werden: Schon in der Entwicklungsphase kann Application Security Testing potentielle Probleme aufzeigen. Und vom Testing bis zum Betrieb sorgen WAFs und API Gateways für einen zusätzlichen Schutz zur Laufzeit.
- Professionelle Web Application Firewalls und API Gateways können sogar Angriffe abwehren, die noch nicht bekannt sind. Voraussetzung ist natürlich, dass die Schutzmechanismen von Beginn weg aktiv sind.
- Airlock hat schon vor dieser Schwachstelle geschützt, bevor sie bekannt wurde. Andere Hersteller haben Ihre Sicherheitsregeln erst nach Bekanntwerden der Schwachstelle angepasst, um die Backend-Anwendungen ausreichend zu schützen.
- WAF-Regeln müssen von Sicherheitsprofis entwickelt und kontinuierlich überprüft werden, damit die Schutzmechanismen von erfahrenen Angreifern nicht umgangen werden können. Dafür sorgt zum Beispiel unser Airlock Bounty Programm, in dem Hacker aus aller Welt versuchen, Lücken im Schutzschild Airlock zu finden.
Ist Airlock selbst verwundbar?
- Airlock Gateway und Airlock Microgateway können nach heutigen Wissensstand* von aussen nicht angegriffen werden. Für den Schutz der internen Schnittstellen (Monitoring, Management GUI etc) wurde trotzdem ein Hotfix publiziert.
- Alle Backend-Applikationen sind seit Airlock Gateway 7.6 geschützt, also bereits vor Bekanntwerden der Schwachstelle. Für ältere Versionen von Airlock Gateway wurde ein Update der Sicherheitsregeln zur Verfügung gestellt.
- Airlock IAM ist von der Schwachstelle betroffen und wurde ebenfalls aktualisiert. Airlock IAM wird gemäss unserer Empfehlung in der Regel hinter Airlock Gateway betrieben und ist durch dessen Filterregeln geschützt, was die Priorität für die Aktualisierung etwas reduziert.
- Weitere technische Infos und Hotfixes sind verfügbar auf der Techzone: https://techzone.ergon.ch/CVE-2021-44228
*Dieser Blog-Artikel basiert auf dem Stand vom 13.12.2021.
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.