Suche

Sprache

Sind Sie bereit für Phase 2 der Log4Shell-Angriffe?

Dezember 16th, 2021

Startseite » Blog » Sind Sie bereit für Phase 2 der Log4Shell-Angriffe?

Die Flutwellen des neu entdeckten Log4Shell-Zero-Day-Angriffs müssen noch ermittelt werden. Viele Organisationen haben sich beeilt, ihre Server zu patchen, um sie gegen die gemeldeten massiven Angriffe immun zu machen. Das Patchen Ihrer Server allein reicht jedoch nicht aus, um sicherzustellen, dass dies kritisch ist Angriffsfläche wurde abgedeckt. Während die Ausführung der aktualisierten log4j-Version tatsächlich vor zukünftigen Angriffen schützt, sollte man sich auch mit der Möglichkeit befassen, dass einige Server möglicherweise kompromittiert wurden vor zum Patch. In diesem Artikel erklären wir die Durchführbarkeit dieses Szenarios und folgen umsetzbare Empfehlungen, um es proaktiv zu mindern.

Inhaltsverzeichnis

  • Log4Shell-In-the-Wild-Aktivitätszusammenfassung
  • Verletzung annehmen – Angegriffen, bis das Gegenteil bewiesen ist
  • Mögliche Bedrohungsszenarien der Stufe 2 nach einer stillen Kompromittierung
  • Silverfort Best-Practice-Empfehlungen für kompromittierte Anmeldeinformationen

    • Log4Shell-In-the-Wild-Aktivitätszusammenfassung

    Apache Log4j ist ein Java-basiertes Open-Source-Protokollierungsdienstprogramm, das häufig von Unternehmensanwendungen verwendet wird. Die ersten Berichte zu Log4Shell (CVE-2021-44228) stammen vom 9. Dezember. Diesen Berichten folgte schnell eine extrem schnelle Entwicklung neuer Exploit-Varianten, wobei neue Variationen des ursprünglichen Exploits schnell eingeführt wurden – über 60 in weniger als 24 Stunden.[1] Außerdem haben allein innerhalb dieser 24 Stunden Angriffe auf Unternehmen weltweit zugenommen, wobei verschiedene Sicherheitsanbieter berichten, dass große Teile ihrer Kunden von Hackern angegriffen wurden, die versuchten, die Schwachstelle auszunutzen. [2] Derzeit wird der Exploit nun schnell in das Arsenal gängiger Malware integriert[3] und soll auch von fortgeschrittenen nationalstaatlichen Angriffsgruppen verwendet werden.

    Verletzung annehmen – Angegriffen, bis das Gegenteil bewiesen ist

    Das enorme Volumen dieser Angriffe stellt eine Herausforderung für jeden Sicherheitsbeteiligten dar, der seine anfälligen Server gepatcht hat. Das schnelle Entwicklungs- und Nutzungstempo der Schwachstellenausnutzung bedeutet, dass es zumindest eine vertretbare Wahrscheinlichkeit gibt, dass Ihre Server von der Ausnutzung angegriffen wurden, bevor das Patchen stattfand. Wir sind fest davon überzeugt, dass es in diesem Fall am besten ist, so zu tun, als ob Ihre Server kompromittiert worden wären, bis diese Bedrohung zuverlässig widerlegt ist. Sehen wir uns die verschiedenen Auswirkungen eines solchen Kompromisses an, um am besten zu verstehen, wie dieser Bedrohung effizient begegnet werden kann.

    Mögliche Bedrohungsszenarien der Stufe 2 nach einer stillen Kompromittierung

    Niederlegen, bis die Zeit reif ist

    Log4Shell allein ermöglicht es Angreifern, in Ihrer Umgebung Fuß zu fassen. Dieser Halt ist nicht das Ziel der Angreifer, sondern eine wesentliche Vorstufe. Das heißt, wenn Angreifer die Sicherheitslücke tatsächlich ausgenutzt und auf einem Ihrer Web-Server präsent sind, besteht für sie kein Anreiz, auf sich aufmerksam zu machen. Vielmehr ist es wahrscheinlicher, dass sie leise und langsam agieren, zusätzliche Anmeldeinformationen sammeln und sich möglicherweise auf weitere Maschinen in Ihrem Netzwerk ausdehnen, bevor sie versuchen, das eigentliche Ziel des Angriffs auszuführen. Nach den häufigen Exploits zu urteilen, die wir sehen, besteht eine gute Chance, dass es sich bei diesem Ziel um ein Ziel handelt Ransomware Ein Angriff, der Ihren Betrieb zum Erliegen bringen würde, kann aber auch ein Diebstahl Ihres geistigen Eigentums oder der personenbezogenen Daten Ihrer Mitarbeiter oder Kunden sein.

    Verkaufe den Zugang

    Alternativ darf der Angreifer den Zugriff auf das Netzwerk nicht selbst nutzen. Vielmehr könnten sie ihren Serverzugang im Dark Web an Dritte verkaufen.

    Endergebnis: Gefährdung durch Lateral Movement und Ransomware-Verbreitung

    Auf die eine oder andere Weise kann es sehr wohl Angreifer geben, die die Schlüssel zu Ihrem Königreich haben, nämlich die Benutzernamen und Anmeldeinformationen Ihrer Standard- und Admin-Benutzer. Das ist schlecht, denn während die anfängliche Kompromittierung eine einzelne Maschine beschädigt, ist es die seitliche Bewegung Teil, der ein lokales Ereignis in ein unternehmensweites Risiko verwandelt. Kompromittierte Zugangsdaten ermöglichen Angreifern genau das.

    Der Weihnachtseffekt

    Vergessen wir nicht, dass sich Angreifer normalerweise für Feiertage und Wochenenden entscheiden. Die bevorstehenden Weihnachtsfeiertage sind eine besonders schlechte Zeit, um die Ausweise Ihrer Mitarbeiter in die falschen Hände zu bringen. Wir glauben, dass Angreifer beider oben beschriebener Typen in der Zwischenzeit schweigen werden und auf die richtige Stunde warten – Weihnachten kann der perfekte Zeitpunkt sein.

    Silverfort Best-Practice-Empfehlungen für kompromittierte Anmeldeinformationen

    Angesichts all dessen haben wir eine Reihe umsetzbarer Best Practices zusammengestellt, um der Möglichkeit proaktiv entgegenzuwirken, dass einige Ihrer Server von Angreifern kompromittiert wurden und werden die Log4Shell-Schwachstelle ausgenutzt:

    • Ende-zu-Ende patchen
      • Stellen Sie sicher, dass alle anfälligen Systeme gepatcht werden, mit besonderem Augenmerk auf Ihre mit dem Internet verbundenen Server.
      • Isolieren Sie die Anwendungen, die Sie nicht sowohl auf Netzwerkebene als auch auf Identitätsebene patchen können.
      • Erfordern MFA für alle Administratorkonten für alle Ressourcen in der Umgebung. Stellen Sie außerdem sicher, dass der MFA-Schutz für Zugriffsschnittstellen gilt, einschließlich Befehlszeilendienstprogrammen wie z PsExec, PowerShell usw. und nicht nur auf RDP und Desktop-Login.
      • einschränken Dienstkonten nur von zugelassenen Computern aus zu bedienen. Sie sollten sich dabei auf das vorhersehbare und sich wiederholende Verhalten dieser Konten stützen.
      • Überwachen Sie Ihre Umgebung genau auf verdächtige und böswillige Ereignisse, wie z. B. einen Anstieg gleichzeitiger Zugriffsanfragen von einem einzelnen Benutzer oder jede andere Abweichung von der Standardaktivität Ihres Benutzerkontos.

    Das Befolgen dieser Empfehlungen erhöht Ihre Widerstandsfähigkeit gegenüber einer bereits bestehenden Log4Shell-basierten Kompromittierung erheblich und würde die Fähigkeit des Angreifers aufheben, seine gestohlenen Anmeldeinformationen für weiteren böswilligen Zugriff zu nutzen.

    Das Silverfort Die Unified Identity Protection-Plattform ermöglicht ihren Benutzern die Erweiterung Lateral Movement verhindern und MFA für alle Benutzer, Dienste oder Systeme und bietet proaktiven Schutz vor identitätsbasierten Angriffen, die kompromittierte Anmeldeinformationen verwenden, um auf gezielte Ressourcen zuzugreifen. Dazu gehören End-to-End-MFA-Schutz sowie die kontinuierliche Überwachung aller Authentifizierungen sowohl vor Ort als auch in der Cloud. Lerne mehr über Silverfort hier.

    Bereit für eine Demo?
    Heute anmelden.

    Kürzliche Posts

    April 24th, 2024

    5 Möglichkeiten, Ihre AD-Hygiene zu verbessern Silverfort  

    March 26th, 2024

    Der Identity Underground Report: Tiefer Einblick in die kritischsten Sicherheitslücken im Identitätsbereich  

    März 2nd, 2024

    MFA-Schutz für Air-Gap-Netzwerke

    Februar 21st, 2024

    Minderung der Identitätsrisiken der Konten ehemaliger Mitarbeiter
    mehr

    Folgen Sie uns

    Stoppen Sie Identitätsbedrohungen jetzt