Wann ist das Log4J-Framework eine echte Bedrohung für kommerzielle Unternehmen?

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

VACE Expertenteam

VACE Systemtechnik GmbH

E-Mail schreiben

Das Log4J-System ist ursprünglich eine Rahmenstruktur zur Erfassung und Protokollierung (Logging) von Anwendungsinformationen innerhalb der objektorientierten Programmiersprache JAVA.

 

Unter einer Vielzahl kommerzieller Softwarepakete hat es sich in wenigen Jahren als eine Art Standard etabliert. Die fundamentale Log4J-Struktur ist somit als Protagonist für viele weitere Logging-Frameworks ebenso in anderen Programmiersprachen zu betrachten.

Schwachpunkte der Log4J-Bibliothek im Zusammenhang mit Vulnerability Scans 

Die Log4J-Protokollbibliothek wird bei vielerlei Anwendungen auf der Basis von JAVA genutzt. Hierbei ist jedoch die effektive Schutzfunktion gegen externe Manipulationen durch Schadcode aufgrund der Verfügbarkeit von kompromittierenden Proof-of-Concepts (PoC) eingeschränkt. 

Bei weit verbreiteten Cybercrime-Attacken ist es den Angreifern somit ermöglicht, in das finale IT-System fremden Programmcode (Malware etc.) einzuschleusen. Dadurch kann beispielsweise eine vom Hacker kontrollierte Zeichenkette bei jedem HTTP-Request über den User Agent in die unternehmenseigene Webapplikation gelangen. 

Außer den Proof-of-Concepts gibt es ebenfalls Skripte, welche die Unternehmenssoftware gezielt auf Vulnerabilität (Verwundbarkeit) hin scannen (GIT2021b). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte in einer Studie eine Zunahme dieser umfangreichen Scan-Aktivitäten. Da das firmeninterne Log4J-System Fremdnutzeranfragen als Input erfasst, existiert ein Einfallstor, das oft rudimentäre Vulnerability Scan-Aktionen seitens der Cyber-Angreifer gelingen lässt. 

Das BSI stellt aktuell eine Intensivierung der globalen IT-Bedrohung speziell für EDV-gestützte Geschäftsprozesse und andere betriebliche Anwendungen fest. Durch das momentan massive Vulnerability Scannen ist eine unmittelbar nachfolgende Infizierung von anfälligen Applikationen innerhalb der Unternehmen nicht ausgeschlossen. Hierzu trägt nicht zuletzt das oftmalige Fehlen von jeweils benötigten Sicherheits-Patches bei. Diese Schwachstelle ist zukünftig bei der Weiterentwicklung eines leistungsstarken, automatisierten Patchmanagements zu beachten. 

Was sind Patches und welche Funktionen innerhalb des Log4J-Frameworks üben sie aus? 

Die Lifecycle-Informationen der Patches umfassen Aktualisierungen von Codesequenzen, welche die Systemzustände von Betriebs- und Anwendungsprogrammen in Echtzeit repräsentieren. Diese Codezeilen werden bei der Abarbeitung der IT-Systeme generiert, um Fehler zu korrigieren, Funktionen zu optimieren oder Features zu erzeugen. Patches werden folglich stets als Updates für den aktivierten Quellcode erstellt und gleichzeitig innerhalb des Log4J-Frameworks publiziert. 

Was beinhaltet ein automatisiertes Patchmanagement im Kontext von Log4J-Protokollen? 

Unter einer Patch-Verwaltung ist die Kontrollfunktion eines Systemadministrators über Aktualisierungen (Updates) von EDV-Betriebssystemen, Plattformen und sonstigen Software-Applikationen (Apps) zu verstehen. Das sogenannte Patching stellt ein wesentliches Element des Laufzeit-Managements von komplexen IT-Systemen dar. Dieser Vorgang ist sehr zeitintensiv, daher setzen wir auf Tools welche diesen Prozess hochgradig automatisieren. 

Prüfen Sie - im Rahmen unseres Information Security Testing & Assessment - ob Ihre IT Infrastruktur versteckte Log4J Einfallstore hat. Innerhalb von speziellen Testverfahren simulieren wir für Sie typische Hacker-Angriffe und filtern so die Vulnerabilitäten Ihres betrieblichen IT-Systems heraus. Die zielgerichtete Suche nach systemischen Schwachpunkten wird dabei mittels automatischer Scans und anschließender manueller Testung durchgeführt. 

Nehmen Sie jetzt gerne Kontakt zu uns auf. Wir freuen uns auf Ihre Anfrage und beraten Sie kompetent und engagiert.