Log4j-Sicherheitslücke: Threat Intelligence Strategien zur Abwehr zum Schutz Ihrer SAP-Anwendungen

Von:

9. Februar 2022

Am Donnerstag, dem 9. Dezember, wurde eine kritische Sicherheitslücke (CVE-2021-44228) in Apache Log4j, einer weit verbreiteten Java-Protokollierungsbibliothek, bekannt gegeben. Manche bezeichnen sie als„die schwerwiegendste Sicherheitslücke, die sie in ihrer beruflichen Laufbahn je gesehen haben“. 

Seit wir von Log4j erfahren haben, arbeitet Onapsis rund um die Uhr daran, die Auswirkungen dieser Sicherheitslücke auf einige der am häufigsten genutzten SAP-Produkte zu ergründen. Onapsis und SAP haben gemeinsam eine Veranstaltung zum Schutz von SAP-Anwendungen vor der Bedrohung durch die Log4j-Sicherheitslücke organisiert. Lesen Sie hier die wichtigsten Punkte nach oder sehen Sie sich das vollständige Webinar hier an.

Jetzt ansehen:Log4j-Sicherheitslücke: Threat Intelligence Strategien zum Schutz Ihrer SAP-Anwendungen

 

So funktioniert Log4j

So funktioniert der Log4j-Exploit

Log4j (CVE-2021-44228) ist eine Sicherheitslücke, die die Ausführung von Remote-Code (RCE) ermöglicht und es Angreifern erlaubt, beliebigen Code auszuführen und control vollständige control anfällige Geräte zu erlangen. Im Normalfall sendet ein Benutzer eine HTTP-Anfrage an einen Webserver, woraufhin dieser reagiert, eine Protokollierungsbibliothek aufruft und einen Eintrag im Protokoll schreibt. Auf einem anfälligen System mit einer böswilligen Anfrage geht dieselbe Anfrage an den Webserver, doch innerhalb dieser Anfrage befindet sich bösartiger Code, der so geschrieben ist, dass der Webserver den bösartigen Code ausführt, sobald er die JNDI-Funktion zur Nachrichtenabfrage aufruft. Befindet sich ein System in dieser Situation, ist es für den Angreifer sehr einfach, sich dort zu etablieren und die Ausführung des Codes zu erzwingen.

Log4j-Chronologie

Das haben wir bisher festgestellt (Stand: 27. Januar 2022): 

  • Der erste Angriff, den wir registriert haben, wurde am 10. Dezember 2021 um 3:44 Uhr EST („-0500“) protokolliert. Seitdem gab es über 9.646 Angriffe.
  • Nach fünf Tagen wurden keine „einfachen“ Angriffsversuche mehr auf Onapsis verzeichnet, da die Angreifer die frühzeitige Bereitstellung von Patches erkannten und zu komplexeren Angriffen bzw. Umgehungsmethoden übergingen
  • Mehr als 200 Varianten des Angriffs, wobei es sich bei den meisten um automatisierte Angriffe und/oder Angriffe durch Bots handelt
  • Über 421 verschiedene Hosts haben versucht, die Log4j-Sicherheitslücke in unserer cloud auszunutzen
  • Es wurde festgestellt, dass 70 verschiedene Malware-Varianten, darunter das Mirai-Botnetz und Elknot, diese Sicherheitslücke ausnutzen
  • Zu den Versuchen von Angreifern, Firewalls zu umgehen, gehören die Verwendung der Base64-Kodierung, die Kombination von Groß- und Kleinbuchstaben sowie die Nutzung von Verschleierungstechniken, um einen String-Abgleich zu vermeiden
  • Zu den Versuchen nach dem Angriff gehörten die Installation von Krypto-Minern und der Diebstahl von AWS-Zugangsdaten 

Die gute Nachricht? Die Forscher von Onapsis haben keine Angriffe festgestellt, die direkt auf SAP-Systeme abzielten. Die meisten Angriffe, die in unserer Threat Intelligence Cloud beobachtet wurden,Cloud auf eine MassenausnutzungCloud .

Beobachtungen und Erkenntnisse aus den Onapsis Research Labs

 

Nächste Schritte für Organisationen

  • Ermitteln Sie anfällige Software und Systeme und ergreifen Sie umgehend Maßnahmen, um die Log4j-Sicherheitslücke zu beheben oder durch Patches zu schließen. Nutzen Sie die Informationsseiten der CISA und der Apache Foundation als Ausgangspunkt.
    • Die CISA hat alle Organisationen dringend aufgefordert, ihre Systeme zu aktualisieren oder unverzüglich die entsprechenden, vom Hersteller empfohlenen Schutzmaßnahmen zu ergreifen, um Risiken zu vermeiden.
    • Das Apache Log4j-Team hat Patches veröffentlicht und Maßnahmen zur Risikominderung vorgeschlagen, um die Log4j-Sicherheitslücke zu beheben.
  • Gehen Sie von einem Sicherheitsverstoß aus und überprüfen Sie die Protokolle der betroffenen Anwendungen auf ungewöhnliche Aktivitäten.
  • Führen Sie ein risikobasiertes Schwachstellenmanagementprogramm ein, dessen Schwerpunkt auf geschäftskritischen Anwendungen sowie zeitnahen und aussagekräftigen threat intelligence liegt, threat intelligence mit der weiteren Entwicklung der Log4j-Bedrohung Schritt zu halten.

Weitere Ressourcen zu Log4j

On-Demand-Webinar: Sehen Sie sich unsere Aufzeichnung mit Richard Puckett, Chief Information Security Officer bei SAP, und Sadik Al-Abdulla, Chief Product Officer bei Onapsis, an, um threat intelligence der Log4j-Sicherheitslücke und deren Auswirkungen auf SAP-Anwendungen threat intelligence .

Sicherheitshinweis von Onapsis: Die aktuellsten Informationen von Onapsis zur Log4j-Sicherheitslücke finden Sie in unserem Sicherheitshinweis.

SAP Patch Tuesday: Bleiben Sie mit unserer monatlichen Patch-Tuesday-Analyse über die neuesten SAP-Sicherheitshinweise auf dem Laufenden. 

Wenn Sie weitere Unterstützung bezüglich der Log4j-Sicherheitslücke und der Auswirkungen auf Ihre SAP-Systeme benötigen, wenden Sie sich bitte an unser Team

Tags
Über den Autor

Onapsis Research Labs

Onapsis Research Labs ist ein Team aus weltweit führenden Cybersicherheitsexperten, das sich der Aufdeckung und Abwehr von Bedrohungen in geschäftskritischen Anwendungen widmet. Als produktivster Mitwirkender an der Sicherheitsforschung von SAP und Oracle hat das Team über 1.000 Zero-Day-Schwachstellen entdeckt und bei deren Behebung geholfen. Seine threat intelligence die Onapsis Platformund stellt sicher, dass Unternehmen defend ERP-Landschaften vor den neuesten, raffinierten Angriffen defend können, bevor diese in der Praxis ausgenutzt werden.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen