Mittlerweile haben Sie wahrscheinlich von Apache Log4j 2 gehört. Wie im Internet berichtet, sind von der kürzlich bekannt gewordenen Schwachstelle CVE-2021-44228 in Apache Log4j 2 (allgemein als Log4Shell bezeichnet) zahlreiche Unternehmen betroffen. Es handelt sich um eine kritische Schwachstelle in Apache Log4j 2, die die Versionen 2.0-beta9 bis 2.14.1 betrifft.
Jetzt fragen Sie sich wahrscheinlich: „Wo befindet sich diese Schwachstelle in meinem eigenen IT-Ökosystem, und wie kann ich sie gegebenenfalls beheben?“
Flexera unterstützt seine Kunden dabei, dieses Problem zu lösen, indem wir die Auswirkungen dieser und anderer Schwachstellen in ihrer IT-Umgebung sofort aufdecken.
Zudem gibt es mit den Vulnerability Insights jeden Monat einen spannenden Schwachstellen-Report von Flexera.
Log4j 2 aus Schwachstellensicht
In den Flexera-Lösungen für Schwachstellen können auf Grundlage von vorkonfigurierten Watchlists und Benachrichtigungseinstellungen Benachrichtigungen generiert und angezeigt werden:
Management von Softwareschwachstellen
Softwareschwachstellen lassen sich nur besiegen, wenn man ihnen voraus ist. Der Umgang mit Risiken ist entscheidend, um die Wahrscheinlichkeit von Angriffen zu verringern und geschützt zu bleiben.
- Eine aktuelle Secunia Advisory (SA105630) und weitere Secunia Advisories, die detaillierte Informationen über die Schwachstelle enthalten, einschließlich der Lösungen/Patches und verfügbaren CPEs
- CVE im Zusammenhang mit der Schwachstelle, die von einer vertrauenswürdigen Quelle veröffentlicht wurde (z. B. von Apache oder MITRE)
- Bedrohungsdaten, die mit den Patches für die Schwachstelle verbunden sind, die Sie zur Behebung für betroffene Produkte verwenden können, sobald sie von den jeweiligen Herstellern veröffentlicht werden
Log4j 2 aus Assetsicht
Für eine gezieltere Bewertung können die betroffenen Produkte per IT-Assetbestandsermittlung identifiziert werden. Ein definitiver Schwachstellenstatus kann mit Versionsgranularität erreicht werden, ist jedoch anwendungsspezifisch. Um diese Schwachstelle in internen Anwendungen zu finden, lesen Sie bitte den Revenera-Blog zum Thema Software Composition Analysis.
- Betroffene Softwareproduktversionen im Bestand werden erkannt.
- Wir werden weiterhin aktiv daran arbeiten, mehr anfällige Produktversionen zu finden, um Dateisignaturen zu erstellen.
- Alle betroffenen Apache-Log4j-Produkte und/oder Versionen sind in Technopedia erfasst.
- Alle bereits bekannten Daten (Nachweise), die sich auf die betroffenen Produkte und/oder Versionen beziehen, werden erkannt. Bitte beachten Sie, dass alle speziellen Nachweise möglicherweise einen Gap-fill-Prozess durchlaufen müssen.
- Mit InfoSec Content Pack:
- Betroffene Produkte werden mit allen CPEs identifiziert, die mit den betroffenen Produkten und/oder Versionen verknüpft sind.
- Aktuelle Secunia Advisory-Informationen, die mit den verfügbaren CPEs verknüpft sind, werden bereitgestellt.
- CVE-Referenzen im Zusammenhang mit den Schwachstellen; die Veröffentlichung ist abhängig von der Überprüfung/Freigabe durch die National Vulnerability Database (NVD).
- Bedrohungsdaten im Zusammenhang mit dem Advisory (bereitgestellt von Secunia Research von Flexera)
- Mit Lifecycle and Support Content Pack:
- Lebenszyklusdaten (EOL und/oder veraltete Daten) für Apache-Log4j-Versionen, die Ihnen helfen können, unterstützte Versionen und den/die Upgrade-Pfad(e) zu bestimmen
Kritische Schwachstellen betreffen Unternehmen in aller Welt und in allen Branchen. Da Unternehmen effektivere Verfahren und Programme zur Bewertung und Behebung von Schwachstellen entwickeln, ist es wichtig, dass die Kommunikation in den IT-Funktionen ausgebaut wird, z. B. IT-Asset-Management, Informationssicherheit und Sicherheitsaspekte, um diesen Vorfällen zu begegnen.
Der original englische Artikel „Apache Log4j 2, Flexera and you“ von Kevin Miller ist auf blog.flexera.com erschienen.
