Die Log4J JNDI-Schwachstelle ist in der Sicherheitsbranche mittlerweile kein Unbekannter mehr. Sie hat in der Branche für viel Aufsehen gesorgt und mehr als nur ein paar Urlaubspläne durchkreuzt. Im Kern handelt es sich bei Log4J um eine Injektionsschwachstelle, die es Angreifern ermöglicht, Systeme über Remotecodeausführung auszunutzen. In der öffentlichen Domäne cloud (insbesondere AWS) kann sich dies darin äußern, dass ein Angreifer in Umgebungsvariablen gespeicherte Geheimnisse ausspäht. Zusätzlich zu statisch gespeicherten Geheimnissen hat unser Sicherheitsforschungsteam bei Vectra kürzlich Methoden aufgezeigt, mit denen die Log4j-Injektionsschwachstelle genutzt werden kann , um temporäre Anmeldeinformationen aus der größten Angriffsfläche in AWS, der EC2-Instanz, zu extrahieren.
Mittlerweile gibt es zahlreiche Artikel, in denen erörtert wird, wie ein Unternehmen gegen die Log4j-Schwachstelle abgesichert werden kann, um den Radius einer damit verbundenen Kompromittierung zu begrenzen - von der Installation von Patches bis hin zur Rotation von Anmeldedaten. Es ist jedoch wichtig, sich darüber im Klaren zu sein, dass es einige Herausforderungen gibt, wenn man sich nur auf diese Mittel zur Abhilfe verlässt. Einschließlich:
- Nicht alle Systeme können schnell gepatcht werden, so dass ein gewisses Risiko besteht. Die Bereitstellung von Patches erfordert Zeit, und in vielen Fällen bestehen Abhängigkeiten von Anbietern oder Dienstleistern, die sich der Kontrolle der IT-Abteilung entziehen.
- Es wird ein nächstes Mal geben. Der Log4J-Exploit wird sicherlich nicht der letzte sein, dem wir begegnen. Wenn man sich nur auf die Begrenzung des Explosionsradius verlässt, haben Angreifer zu viel Zeit, um in sensible Bereiche einzudringen und Schaden anzurichten.
- Ist der Angreifer erst einmal eingedrungen, hilft das Patchen der ersten Angriffspunkte nicht mehr viel. Der Angreifer kann verschiedene Anmeldeinformationen extrahieren, sich durch Maschinen bewegen, Befehls- und Kontrollkanäle über Server, Container oder serverlosen Code einrichten und sich negativ auf Unternehmensressourcen, Dienste und Daten auswirken, was zu Geschäftsunterbrechungen und dem Verlust sensibler Daten führt.
Die übermäßige Abhängigkeit von Patches und der Wiederherstellung nach der Kompromittierung hat dazu geführt, dass das SOC ständig mit dem aktuellen Exploit mithalten muss. Zusätzlich zu den Patches ist die Fähigkeit erforderlich, Angriffe schnell zu erkennen, sobald sie stattfinden, und einen zuverlässigen Schutz zu bieten, unabhängig davon, wie der nächste Angriff aussieht.
Die Erkennung des Fortschreitens von Angriffen in Cloud ist ein schwer zu lösendes Problem.
Die Nachverfolgung des Verhaltens von Entitäten und die Identifizierung von Änderungen in einer cloud Umgebung ist in Echtzeit extrem schwierig. Außerdem kann es nahezu unmöglich sein, zwischen einem normalen Benutzer mit Anmeldedaten und einem böswilligen Angreifer mit denselben kompromittierten Anmeldedaten zu unterscheiden.
Aber keine Sorge, wir haben gute Neuigkeiten -Vectra Detect for AWS bietet Ihnen Schutz
Detect for AWS nutzt sicherheitsorientierte KI, um das Verhalten von Angreifern in der AWS Control Plane zu erkennen. So löst Vectra beispielsweise die Meldung "AWS Suspicious Credential Usage" aus, wenn EC2-Instance-Anmeldeinformationen außerhalb des AWS-IP-Raums verwendet werden. Dies erleichtert die Identifizierung von gestohlenen Anmeldeinformationen (aus der Remotecodeausführung mit Log4J), die für den Zugriff auf Ressourcen verwendet werden. Innerhalb des Perimeters überwacht Detect kontinuierlich Konten und Services über Regionen hinweg, um bösartiges Angreiferverhalten über die gesamte cloud Kill Chain (Entdeckung, Seitwärtsbewegung und Exfiltration) sofort zu identifizieren. Beispiele für Angriffswege, die ein Angreifer nehmen kann, sind:
- Zugriff auf und Änderung von AWS Lambda-Funktionen, um Aktionen zum Vorteil des Angreifers durchzuführen. Detect identifiziert und markiert Vorkommnisse von Lambda-Hijacking.
- Verschiedene Techniken der Privilegienerweiterung, einschließlich der Erstellung neuer Benutzerprofile zur Aufrechterhaltung der Persistenz. Detect identifiziert das Verhalten im Zusammenhang mit der Gewährung von Admin-Rechten und überwacht die Erstellung neuer Benutzerprofile.
- Hochfahren von AWS-Ressourcen in nicht überwachten Regionen und Freigabe von Ressourcen für die Öffentlichkeit. Detect würde Alarme auslösen, die Aktivitäten in zuvor ungenutzten Regionen anzeigen und auf Instanzen aufmerksam machen, in denen Ressourcen der Außenwelt ausgesetzt sind.
Von der Änderung von Ressourcen bis hin zu Versuchen der Privilegienerweiterung und der Exfiltration von Datenspeichern - Detect sorgt für eine Abdeckung ohne blinde Flecken. Mithilfe der sicherheitsorientierten KI von Vectraordnet Detect alle Aktionen einem Principal zu, auch wenn sie über eine Kette von angenommenen Rollen erfolgen, um zu beurteilen, ob die Aktivität und damit der Principal als bösartig einzustufen ist. Das bedeutet, dass ein SOC-Analyst keine Zeit damit verschwenden muss, den Prinzipal zu identifizieren, der kompromittiert wurde.
Darüber hinaus liefert Detect mit der Funktion Instant Investigations wichtige Informationen zu den Aktionen, die der markierte Principal zum Zeitpunkt der verdächtigen Aktivität durchgeführt hat. Dazu gehören neben anderen wertvollen Erkenntnissen auch die verwendeten Dienste, die Historie der übernommenen Rollen und die Regionen, in denen der Auftraggeber aktiv war. Ob Sie es glauben oder nicht, diese Informationen, für deren Ermittlung man früher Stunden brauchte, sind jetzt mit Instant Investigations auf Knopfdruck verfügbar!
Da die Fußabdrücke von cloud exponentiell wachsen, benötigen Angreifer nur eine einzige Öffnung, um in cloud Umgebungen einzudringen und Hintertüren zu schaffen, um sich dort festzusetzen. Log4J ist nicht die erste und wird sicherlich nicht die letzte Schwachstelle in der breiten Palette von Schwachstellen sein, die Angreifer ausnutzen, um cloud Fußabdrücke zu kompromittieren. Infrastrukturen sind unglaublich komplex und umfassen Dutzende von Diensten, die in modernen DevOps-Pipelines ständig in Bewegung sind. Mit zunehmender Geschwindigkeit und Agilität steigt auch das Risiko, Sicherheitsprobleme einzuführen. Die frühzeitige Identifizierung dieser Angriffsvektoren ist entscheidend für die Risikominimierung und die Ermöglichung kluger Reaktionsstrategien. In der heutigen Welt, in der cloud in einem noch nie dagewesenen Tempo wächst, kann die Bedeutung der Ausstattung des SOC mit den richtigen Tools gar nicht hoch genug eingeschätzt werden, und Detect ist eine hervorragende Ergänzung zum Arsenal des SOC. Klingt aufregend? Erfahren Sie mehr über Detect und melden Sie sich für eine kostenlose Testversion an.