BLOG

Log4j-Sicherheitslücke: Sind Organisationen immer noch gefährdet?

Sudhir Patamsetti Miniaturbild
Sudhir Patamsetti
Veröffentlicht am 12. Juli 2023

Die anhaltende Bedrohung

Es ist über 18 Monate her, dass die Log4j-Sicherheitslücke Schockwellen durch die Cybersicherheits-Community schickte, doch aktuelle Berichte deuten darauf hin, dass mit Stand 1. Oktober 2022 immer noch erstaunliche 40 % der Log4j-Downloads anfällig für Ausnutzungen sind und 72 % der Organisationen immer noch anfällig für Log4j sind. Allein im Mai 2023 hat unsere F5 Distributed Cloud Platform dazu beigetragen, Kunden vor über 1 Million Log4j-Angriffsversuchen zu schützen, die durch die Schutzfunktionen der Web-App und der API erfolgreich abgewehrt wurden.

Abbildung 1: Log4j-Angriffe im Juni und Juli 2023 werden weiterhin durch F5 Distributed Cloud WAAP abgeschwächt

Dies ist lediglich ein Beispiel für ein CVEs, das die fortbestehenden Herausforderungen verdeutlicht, da Unternehmen Schwierigkeiten haben, mit der Verwaltung der CVE-Behebung Schritt zu halten, und es handelt sich um ein Problem, das in Zukunft nur noch größer werden wird. Die Anzahl der veröffentlichten CVEs nimmt zu und F5 Labs geht davon aus, dass die Rate, mit der in einer typischen Woche neue CVEs veröffentlicht werden, bis 2025 auf 500 pro Woche ansteigen wird. Es sind fast zwei Jahre vergangen, seit die Log4j-Sicherheitslücke aufgedeckt wurde, und die Unternehmen versuchen immer noch, den Rückstand aufzuholen, während sich das umfassendere Problem ständig weiterentwickelt. Trotz der Verfügbarkeit von Patches und Updates tragen zahlreiche Faktoren zu anhaltenden Schwachstellen wie log4j bei.

Organisatorische Herausforderungen

Allein die schiere Anzahl und Häufigkeit neuer Sicherheitslücken führt dazu, dass Unternehmen Mühe haben, mit ihnen Schritt zu halten (und sie möglicherweise gar nichts davon mitbekommen), weil ihnen entweder die Informationen fehlen oder sie nicht über die nötigen Ressourcen verfügen, um über neue Sicherheitshinweise auf dem Laufenden zu bleiben. Sobald eine Schwachstelle identifiziert wurde, kann das Patchen anfälliger Systeme eine komplexe Angelegenheit sein, insbesondere in großen Organisationen mit miteinander verbundenen Systemen. Es erfordert erheblichen Aufwand und Koordination und führt zu langen Patchzyklen. Die Komplexität wird noch dadurch erhöht, dass in den meisten Unternehmen eine Mischung aus veralteter und moderner Infrastruktur, Systemen und Anwendungen vorhanden ist. Dies kann bei der Implementierung wichtiger Updates zu Kompatibilitätsproblemen, hohen Kosten oder einem ungünstigen Zeitaufwand führen. Darüber hinaus sind komplizierte Patches und Updates indirekte Abhängigkeiten, die in Software-Lieferketten oder Infrastrukturkomponenten bestehen können und einen blinden Fleck darstellen können, selbst wenn eine Organisation das anfällige System nicht direkt verwendet. Genau wie der Softwarecode selbst können auch menschliche Fehler und Unachtsamkeiten die Schadensbegrenzungsbemühungen behindern, da Entwickler oder Administratoren möglicherweise die Notwendigkeit von Patches übersehen oder Systeme falsch konfigurieren. Schließlich kann es in Unternehmen mit komplexen IT-Infrastrukturen oder einer risikoscheuen Unternehmenskultur zu Verzögerungen bei der Einführung von Patches kommen, da dort umfangreiche Tests durchgeführt werden, die Sorge vor Unterbrechungen besteht oder konkurrierende Geschäftsprioritäten bestehen. Erschwerend kommt hinzu, dass die meisten Organisationen – insbesondere im Sicherheitsbereich – unter Personalmangel leiden. Wie also sollen sie mithalten, während sie fieberhaft daran arbeiten, Systeme und Anwendungen zu patchen und zu aktualisieren?

Abschluss

Die Behebung von Schwachstellen wie log4j erfordert eine gemeinsame Anstrengung von Organisationen, Entwicklern, Anbietern und der gesamten Cybersicherheits-Community. Um die Persistenz von Schwachstellen zu minimieren und Unternehmen vor potenziellen Angriffen zu schützen, sind rechtzeitiges und umfassendes Patchen, ein verbessertes Bewusstsein, robuste Praktiken zum Schwachstellenmanagement und kontinuierliches Monitoring unabdingbar. Zwar sind Patches zur Behebung bekannter Schwachstellen wie log4j unerlässlich, doch können sie keinen vollständigen Schutz garantieren, da ständig neue Schwachstellen auftreten. Um Risiken wirksam zu mindern, müssen Unternehmen umfassende Sicherheitslösungen einführen. Hierzu gehört die Implementierung von Web Application Firewalls (WAFs) und API-Sicherheitsmaßnahmen zum Schutz vor Angriffen auf Anwendungsebene. Darüber hinaus ist eine kontinuierliche Überwachung von entscheidender Bedeutung, um neu auftretende Bedrohungen umgehend zu erkennen und darauf zu reagieren. Durch die Einführung eines ganzheitlichen Ansatzes, der Patching mit robusten Sicherheitsmaßnahmen und kontinuierlicher Überwachung kombiniert, können Unternehmen ihre Systeme und Daten besser vor sich entwickelnden Sicherheitsrisiken schützen.

Patches werden zwar bereitgestellt, aber häufig (wie in diesem Fall mit log4j) nicht schnell genug und es werden rasch neue CVEs identifiziert. Daher ist es für Unternehmen unerlässlich, dass ihre Anwendungen über eine umfassende Sicherheitsebene verfügen, unabhängig davon, wie viele Patches vorhanden und auf dem neuesten Stand sie sind. Der Schutz sowohl interner als auch webbasierter Apps mit einer Lösung wie dem Distributed Cloud Web App and API Protection (WAAP) von F5 ist von entscheidender Bedeutung, um die Sicherheitslücke zu schließen, während Unternehmen ihren Patch- und Update-Rückstand abarbeiten.


Einige Ressourcen und verwandte Links: