Die ganze Welt ist mit Patch-Management beschäftigt und wieder einmal werden IoT vergessen. Sicherheitsforscher von Armis empfehlen deshalb dringend auch IoT in den Fokus zu nehmen, denn sie entdeckten log4shell-Angriffsversuche bei mehr als einem Drittel der eigenen Kunden und jeden Tag folgen neue Angriffsversuche.
Die Top 3 der angegriffenen Geräte sind bislang physische Server (42 %), virtuelle Server (27 %) und IP-Kameras (12 %). Darüber hinaus konnten auch Angriffsversuche auf Produktionsgeräte (HMI-Panels und Steuerungen) und Anwesenheitssysteme (Kronos) festgestellt werden.
Aus diesem Grund empfiehlt Armis die folgenden fünf Schritte zu beachten, um die aktuelle Log4Shell-Sicherheitslücke aber auch zukünftige Schwachstellen vorzubeugen oder zu beheben:
- Asset Visibility – Verfügt das Unternehmen über ein genaues Inventar von allem Geräten in seiner IT-Umgebung, auf dem Apache/Java läuft und die Log4j verwenden? Lösungen wie Armis sehen und identifizieren jedes Asset für 100 Prozent vollständige Transparenz: über IT/OT/IoT/IoMT verwaltete und nicht verwaltete Assets, sowohl im Netzwerk als auch in der Cloud.
- Risikobewertung – Welche Geräte in der IT-Umgebung sind anfällig oder müssen weiter bewertet werden, um eine mögliche Gefährdung zu bestätigen? Eine zentrale Plattform kann dabei helfen, die Geräte in der IT-Umgebung, auf denen Apache- und/oder Java- und andere Anwendungen ausgeführt werden, zu erfassen, die spezifischen Geräte zu identifizieren, die einer weiteren Überprüfung bedürfen (z. B. Bestätigung der genauen Softwareversionen), und die spezifischen Konfigurationen oder Bereitstellungen zu ermitteln, die potenziell von solchen Gefährdungen betroffen sind.
- Bewertung der Bedrohung – Gibt es derzeit aktive Ausnutzungsversuche oder hat ein bösartiger Akteur die Schwachstelle in meiner Umgebung bereits erfolgreich ausgenutzt? Sicherheitsforscher haben die Schwachstelle analysiert und Abfragen entwickelt, mit denen aktive Versuche, die Schwachstelle auszunutzen, schnell identifiziert werden können, damit Administratoren anfällige Systeme isolieren oder unter Quarantäne stellen und Patching-Maßnahmen einleiten können.
- IT-Umgebungen schützen – Administratoren sollten die anfälligen Systeme isolieren oder sie unter Quarantäne stellen. Darüber hinaus sollten sie Patching-Maßnahmen einleiten. Asset Management und Sicherheit sollten aktiviert sein, um Risiken zu erkennen, bevor sie zum Problem werden.
- Vorbeugende und eindämmende Maßnahmen – Wichtig ist die Frage zu stellen, welche Geschäftsdienste, Lösungen oder kritischen Infrastrukturen könnten beeinträchtigt werden. Die Antwort auf diese Frage wird dann interessant, falls die Schwachstelle ausgenutzt wird, oder werden bereits aktiv beeinträchtigt.