Log4Shell: Sorgen Sie für die richtige IT-Sicherheit!
Zuletzt bedeutete die Sicherheitslücke in Log4j zahlreiche gefährdete Server und Apps. Wir bieten Ihnen die notwendige Sicherheit – und erklären, wie Sie sich und Ihre Daten gegen Cyber-Angriffe schützen können.
Erstellt von Marina Schinner am 24.01.2022 in Infrastruktur & Services
Im Dezember 2021 wurde eine kritische Zero-Day-Sicherheitslücke namens Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4j bekannt. Es galt, umgehend zu reagieren und die eigenen Systeme auf ihre Sicherheit zu überprüfen.
Log4j – So hat a&f systems reagiert
Umgehend nach Bekanntgabe der Sicherheitslücke legten wir – in einer dedizierten Taskforce – als Sofortmassnahme den Fokus auf die von a&f betreuten kundenseitigen Public-Dienste. Also Dienste, welche direkt aus dem Internet erreichbar sind wie beispielsweise WoodWing und dessen Umsysteme.
Die gemäss unserer Erstanalyse betroffenen Kunden wurden dediziert angeschrieben. Auf Kundenwunsch hin wurden die vorhandenen und bekannten Schwachstellen umgehend gemäss des empfohlenen Vorgehens des Herstellers behoben.
In einer zweiten Phase empfehlen wir unseren Kunden nun, die komplette ICT-Infrastruktur (auch die internen Komponenten), welche von der a&f systems betreut wird, auf die Log4j-Schwachstelle zu prüfen.
Benötigen Sie bei der empfohlenen Prüfung Unterstützung? Unsere Spezialisten sind Ihnen gerne bei der Analyse Ihrer Basis-Systeme der unten aufgeführten Komponenten behilflich:
- APC USV
- HPE Server
- VMware vSphere
- ORACLE Solaris
- DellEMC Storages
- EonStore Storages
- Synology NAS
- Quantum Tape-Library
- Overland Tape-Library
Log4j – So nutzen Angreifer die Sicherheitslücke aus
Die neue Sicherheitslücke kann von Angreifern ausgenutzt werden, indem diese manipulierte Anfragen an einen verwundbaren Server oder eine angreifbare Anwendung senden. Der Proof-of-Concept-Code (PoC) der Pen-Testing-Gruppe 0x0021h hat gezeigt, dass der Angreifer eine Zeichenkette in Form von «${jndi:ldap://127.0.0.1:1389/a}» ins Protokoll schreibt. Der Verzeichnisdienst JNDI kontaktiert den LDAP-Server 127.0.0.1:1389 – und nimmt schliesslich von ihm Daten (wie potenziell bösartige Java-Klassen) entgegen. Anschliessend führt er diese entsprechend aus. Ein Angreifer müsste demnach einen von ihm kontrollierten Server angeben, um einen Server über das Logging zu kapern (Log4Shell).
IT-Sicherheit: So sorgen Sie vor
Die Serie von Cyber-Angriffen in der Schweiz reisst nicht ab. Um den möglichen Schaden im Falle eines Cyber-Angriffes so gering wie möglich zu halten, empfehlen wir Ihnen folgende Massnahmen:
- Sensibilisierung der Mitarbeitenden: Zum Beispiel durch den IT-Vertrag. Dort werden Ihnen die wichtigsten Punkte empfängergerecht aufgezeigt. Der Service zielt damit genau auf Schweizer KMUs ab.
- Regelmässig die aktuellsten System- und Software-Updates auf dem Server und den Arbeitsstationen einspielen: So werden bestehende Sicherheitslücken entsprechend geschlossen und können nicht aktiv ausgenutzt werden.
- Aktuelle AntiVirus-Software auf Ihrem Server und den Arbeitsstationen (auch macOS) installieren : Zum Beispiel von Sophos. Hierfür erstellen wir Ihnen gerne ein entsprechendes Angebot.
- Aktuellste Software-Updates in der FireWall einspielen: So werden bestehende Sicherheitslücken geschlossen und können nicht aktiv ausgenutzt werden.
Erstellen Sie ein durchdachtes Backup-Konzept, bei welchem mindestens ein Daten-Stand offline ist: So, dass bei einem Verschlüsselungs-Trojaner dieser eine Datenstand noch intakt ist und zurückgelesen werden kann. Wir bieten unseren Kunden jeweils ein kostenattraktives Cloud-Backup an – ab 99 CHF pro Monat.