Die Log4j-Sicherheitslücke und ihre Auswirkungen auf SAP-Anwendungen

Von:

20. Dezember 2021

Wie wir inzwischen alle wissen, wurde die Welt am 9. Dezember 2021 durch die öffentliche Bekanntgabe einer kritischen Sicherheitslücke (CVE-2021-44228) in Apache Log4j erschüttert, einer beliebten Java-Logging-Bibliothek, die seit 2001 weit verbreitet ist. Manche bezeichnen sie als„die bedeutendste Sicherheitslücke des letzten Jahrzehnts“. 

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat diese Schwachstelle in ihren Katalog bekannter ausgenutzter Schwachstellen (KEVs) aufgenommen, der in der verbindlichen operativen Richtlinie 22-01 festgelegt ist, und eine dringende Warnung herausgegeben, ebenso wie viele andere internationale Organisationen; das deutsche BSI hat eine „rote Warnung“ herausgegeben, und Australien stufte die Schwachstelle als „kritisch“ ein. Am Freitag, dem 17. Dezember 2021, erließ die US-amerikanische CISA die Emergency Directive 22-02, in der sie die zivilen Bundesbehörden der Exekutive anwies, alle Log4j-Sicherheitslücken bis zum 23. Dezember 2021 durch Patches oder genehmigte Abhilfemaßnahmen zu identifizieren und zu beheben.  

Sowohl im öffentlichen als auch im privaten Sektor arbeiten Informationssicherheitsteams weltweit weiterhin mit Hochdruck daran, Schwachstellen in Software zu beheben und das enorme Risiko zu mindern, das diese Bedrohung für die Welt darstellt. 

In der Anfangsphase dieser Zero-Day-Bedrohung Onapsis Research Labs die Onapsis Research Labs ebenfalls rund um die Uhr Onapsis Research Labs , die Auswirkungen dieser Sicherheitslücke auf einige der am häufigsten genutzten SAP-Produkte zu ergründen. Die Onapsis Research Labs ein Netzwerk von Sensoren, das wir als „Onapsis Threat Intelligence Cloud bezeichnen. Bereits im April 2021 cloud diese cloud einen Großteil der Daten, auf denen unser gemeinsamer threat intelligence mit SAP basierte. Schon sehr früh beobachteten wir einige groß angelegte Ausnutzungsversuche, bei denen Angreifer den Exploit in verschiedenen Teilen der HTTP-Anfrage über unsere Threat Intelligence Cloud hinweg testeten,Cloud herauszufinden, was funktionieren würde und was nicht. 

Hier sind einige Daten, die wir auf der Grundlage von tatsächlichen Angriffen, die über die Onapsis Threat Intelligence Cloud beobachtet wurden, zum Stand vom Montag, dem 20. Dezember 2021, mitteilen können:

  • Der erste Angriff, den wir beobachteten, wurde am 10. Dezember 2021 um 3:44 Uhr EST („-0500“) protokolliert, also weniger als 24 Stunden nach der Veröffentlichung der ersten Sicherheitswarnung. (Dies deckt sich mit unseren früheren Erkenntnissen darüber, wie schnell Angreifer auf Informationen über neue Sicherheitslücken reagieren können.)
  • Seit diesem ersten Versuch haben wir insgesamt 3096 Angriffsversuche verzeichnet.
  • Wir haben mehr als 50 Varianten des Angriffs festgestellt, wobei es sich bei den meisten um automatisierte Angriffe und/oder Angriffe durch Bots handelte.
  • Es gab über 277 einzelne Hosts, die versucht haben, die Log4j-Sicherheitslücke in unserer cloud auszunutzen.
  • Es wurden 70 verschiedene Malware-Varianten, darunter das Mirai-Botnetz und Elknot, beobachtet, die diese Sicherheitslücke ausnutzen.
  • Zu den Versuchen von Angreifern, Firewalls zu umgehen, gehören die Verwendung der Base64-Kodierung, die Kombination von Groß- und Kleinbuchstaben sowie die Nutzung von Verschleierungstechniken, um einen String-Abgleich zu verhindern.
  • Im Rahmen der Nachangriffsaktivitäten wurden Kryptomining-Programme installiert und AWS-Geheimnisse gestohlen (d. h., die Angreifer nutzten den Exploit, um die Umgebungsvariablen auszulesen, in denen AWS-Anmeldedaten gespeichert sind, und so an die Schlüssel bzw. Passwörter zu gelangen)

Auch wenn die Bedrohung durch Log4j sehr real und sehr gefährlich ist, gibt es doch einen möglichen Lichtblick: Zum Zeitpunkt der Veröffentlichung dieses Blogbeitrags Onapsis Research Labs die Onapsis Research Labs keine spezifischen Erkundungs- oder Ausnutzungsversuche in Bezug auf SAP-bezogene Produkte beobachtet. Stand 20. Dezember 2021 haben wir gemäß den in der Onapsis Threat Intelligence Cloud gesammelten und überwachten Aktivitäten vor allem nur wahllose Massenscans beobachtet, mit denen alle Webserver in unserer cloud abgefragt wurden. Diese Tatsache ist wohl eine gute Nachricht für Verteidiger, da sie zeigt, dass es zumindest öffentlich keine weithin bekannten Methoden gibt, CVE-2021-44228 auszunutzen, um SAP-Systeme zu kompromittieren. Im Vergleich dazu Onapsis Research Labs die Onapsis Research Labs , als der Proof-of-Concept für RECON auf GitHub veröffentlicht wurde, bereits wenige Stunden später Erkundungsversuche und Ausnutzungen Onapsis Research Labs .

Glücklicherweise ist eine Standardinstallation von SAP NetWeaver Java laut SAP-Hinweis Nr. 3129883 NICHT von CVE-2021-44228 betroffen, was die Lage für die SAP-Sicherheitsteams erheblich verschlimmert hätte.

Onapsis und die Onapsis Research Labs beobachten diese Situation Onapsis Research Labs sehr genau und halten Ausschau nach allen potenziellen Bedrohungen, die unsere Kunden betreffen könnten. Sicherheitsverantwortliche sollten ihre Abwehrmaßnahmen nicht lockern und ihre SAP-Systeme so schnell wie möglich patchen und/oder die vorgeschlagenen Abhilfemaßnahmen umsetzen. 

Die aktuellsten Informationen von Onapsis zur Log4j-Sicherheitslücke finden Sie in unserem Sicherheitshinweis, den Sie hier abrufen können. Außerdem haben wir einen Bericht über die Log4j-Updates von SAP im Rahmen des letzten „Patch Tuesday“ verfasst, den Sie hier finden.

On-Demand-Webinar 

SAP & Onapsis Cyber Tech Talk-Reihe 

Log4j-Sicherheitslücke: Threat Intelligence Strategien zur Abwehr zum Schutz Ihrer SAP-Anwendungen

In dieser Sitzung sprachen Richard Puckett, Chief Information Security Officer bei SAP, und Sadik Al-Abdulla, Chief Product Officer bei Onapsis, über:

  • Von Onapsis Research Labs erfasste Threat intelligence Log4j-Sicherheitslücke
  • Auswirkungen der Sicherheitslücke auf SAP-Anwendungen
  • Überlegungen zum Aufbau eines umfassenden Schwachstellenmanagements für SAP- und geschäftskritische Anwendungen

Hier ansehen.

Tags, , , , ,
Über den Autor

Onapsis Research Labs

Onapsis Research Labs ist ein Team aus weltweit führenden Cybersicherheitsexperten, das sich der Aufdeckung und Abwehr von Bedrohungen in geschäftskritischen Anwendungen widmet. Als produktivster Mitwirkender an der Sicherheitsforschung von SAP und Oracle hat das Team über 1.000 Zero-Day-Schwachstellen entdeckt und bei deren Behebung geholfen. Seine threat intelligence die Onapsis Platformund stellt sicher, dass Unternehmen defend ERP-Landschaften vor den neuesten, raffinierten Angriffen defend können, bevor diese in der Praxis ausgenutzt werden.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen