Dattos Antwort auf Log4Shell

By Ryan Weeks

Am Freitag, den 10. Dezember 2021, wurde bekannt, dass eine bisher unbekannte Zero-Day-Sicherheitslücke (CVE-2021-44228) in einer weit verbreiteten Komponente von Java-basierter Software, genannt log4j, aktiv ausgenutzt wird. Wie weit dieses Softwarepaket weltweit in Technologien und Plattformen verbreitet ist, wird noch untersucht. Entsprechend sind die Security-Maßnahmen und die Reaktionen ein fließender Prozess, der sich kontinuierlich den neuesten Erkenntnissen anpasst.

Die Situation

Datto hat zum jetzigen Zeitpunkt keine wesentliche Gefährdung durch die log4j-Sicherheitslücke festgestellt, die den sicheren Einsatz der Datto-Produkte beeinflussen würde. Sollte sich diese Einschätzung ändern, werden wir unsere Partner umgehend informieren.

Seit die Schwachstelle bekannt ist, hat Datto eine umfassende Bewertung der Lage und Reaktion darauf vorgenommen. In diesem Beitrag beschreiben wir, was Datto getan hat, um die Lage einzuschätzen und auf die Gefahr zu reagieren. Zudem erfahren Sie, wie wir die sichere Nutzung unserer Technologien weiterhin gewährleisten und was wir Ihnen empfehlen, um sich und Ihre KMU-Kunden zu schützen.

Die Sicherheitslücke

Einige werden sich bei der log4j-Sicherheitslücke an ShellShock im Jahr 2014 erinnern. Der Vergleich der beiden Vorfälle lässt erahnen, dass die log4j-Schwachstelle das Potenzial hat, zur folgenschwersten Sicherheitslücke 2021 zu werden.

Um die Schwachstelle auszunutzen, ist eine einzige HTTP-Anfrage mit schädlichem Input von überall auf der Welt an einen Server mit Internetanschluss erforderlich, auf dem eine anfällige Version von log4j läuft. Dadurch kommt es zu einer vollständigen Kompromittierung des Systems, ohne dass eine Authentifizierung nötig wird. Denkt man an die weite Verbreitung dieser Softwarekomponente, verdeutlich das das ganze Ausmaß der Bedrohung.

Cybersecurity-Spezialisten haben seit dem Bekanntwerden der Sicherheitslücke bereits fantastische Arbeit geleistet und dokumentiert, wie die Schwachstelle funktioniert. Anstatt die Details an dieser Stelle noch einmal zu wiederholen, empfehle ich Ihnen die umfassenden Berichte von CloudFlare und SANS Internet Storm Center.

Reaktion auf die Sicherheitslücke

Die Technologie-Teams von Datto haben keine wesentliche Gefährdung durch die Schwachstelle festgestellt. Sie sind überzeugt davon, dass die Produkte von Datto weiterhin sicher eingesetzt werden können. Auch wenn unsere erste Reaktion abgeschlossen ist, beobachten wir fortlaufend die Entwicklungen und überwachen unsere Produkte, um sofort Maßnahmen einleiten zu können, wenn sich etwas ändern sollte.

Die Situation entwickelt sich fortlaufend und wir erwarten, dass in den kommenden Tagen und Wochen weitere Informationen zu betroffenen Anwendungen bekannt werden. Alle Technologie-Profis müssen die neuesten Entwicklungen im Auge behalten und die eigene Gefahrenlage ständig neu einschätzen.

Unsere oberste Priorität war eine umfassende erste Bewertung und Reaktion. Beides ist bereits abgeschlossen. Der Schwerpunkt der Aktivitäten lag dabei auf den folgenden Punkten:

  • Ein Überblick über die Verwendung in Datto-Produkten
  • Kontrolle der Infrastruktursysteme in unseren Asset-Beständen
  • Suche nach anfälligen Technologien von Drittanbietern
  • Überprüfung von Dattos Drittanbietern, um sie in unsere Reaktion einzubinden und über ihre eigene Reaktion informiert zu sein

Der zeitliche Ablauf unserer Reaktion

Bei der Analyse von Security-Vorfällen hilft es, die Handlungen in Form einer Zeitleiste zu betrachten. Hier sind die wichtigsten Vorgänge im Zeitverlauf aufgelistet, um zu veranschaulichen, wie unsere Reaktion auf die Sicherheitslücke ablief und wie gründlich und umfassend sie war.

Bis Freitag, 10 Uhr Ortszeit USA/16 Uhr MEZ

  • Das Information Security Team von Datto hat mit einer ersten Überprüfung begonnen und nach kurzer Zeit festgestellt, dass es sich um ein potenziell folgenschweres Problem handelt, das eine offizielle Reaktion erfordert.

Bis Freitag, 11 Uhr Ortszeit USA/17 Uhr MEZ

  • Basierend auf vorher festgelegten Prozessen für den Notfall leitet der CISO von Datto Engineering- und IT-Ressourcen auf den Sicherheitsvorfall um.
  • Das Third-Party Risk Team von Datto hat mit der Überprüfung von Anbietern auf mögliche Sicherheitsrisiken begonnen
  • Ein Team aus Software Security Champions hat unter der Leitung des Application Security Teams von Datto damit begonnen, Datto-Produkte auf mögliche Auswirkungen zu überprüfen.

Bis Freitag, 12 Uhr Ortszeit USA/18 Uhr MEZ

  • Das Security Operations Team von Datto
    • bestätigt, dass das Logging ausreicht, um schädliche Vorgänge zu erfassen
    • erstellt neue Regeln für Alerts, um die Ergebnisse von Gefahren-Scans in Echtzeit zu bewerten
    • bestätigt, dass die Scans nicht erfolgreich waren; sie führten nicht zur Auflösung von C2-Domains oder ausgehenden Verbindungen

Bis Freitag, 14 Uhr Ortszeit USA/20 Uhr MEZ

  • Das Offensive Security Team von Datto setzt einen Scanner ein, der die gesamte Internet-angebundene Web-Präsenz von Datto automatisch auf Schwachstellen überprüft.

Bis Freitag, 15 Uhr Ortszeit USA/21 Uhr MEZ

  • Der Scan des Offensive Security Teams von Datto wurde abgeschlossen und hat keine Schwachstellen in der gesamten Web-Infrastruktur von Datto (alle Produkte und Clouds) gefunden.
  • Das Third-Party Risk Team von Datto hat mit Open-Source-Informationen und unserer Plattform zur fortlaufenden Überwachung von Dienstleistern alle Anbieter identifiziert, die potenziell gefährdet sind, und mit der Kontaktaufnahme begonnen.

Bis Freitag, 16 Uhr Ortszeit USA/22Uhr MEZ

  • Die erste Einschätzung der Gefahrenlage steht kurz vor dem Abschluss.
  • Obwohl bei einigen Datto-Produkten log4j im Einsatz ist, wurde in den Fällen festgestellt, dass
    • keine anfällige Version verwendet wird;
    • es nicht über das Internet erreichbar und damit nicht unmittelbar gefährdet ist;
    • die betroffenen Produkte durch kompensierende Kontrollen geschützt sind;
    • es bereits aktualisiert wurde; oder
    • es mit dem Konfigurations-Workaround ausgeführt wurde

Bis Samstag, 12 Uhr Ortszeit USA/18 Uhr MEZ

  • Das breit aufgestellte Reaktionsteam hat damit begonnen, die Ergebnisse unserer Bewertung vom Freitag systematisch zu überprüfen und die neuesten Informationen zu integrieren. So wird sichergestellt, dass sich unsere Reaktion kontinuierlich an die Situation anpasst.
  • Es wurden keine weiteren Instanzen identifiziert und Versuche, die Schwachstelle auszunutzen, waren nicht erfolgreich. Datto hält deshalb an der Schlussfolgerung vom Vortag fest, dass Datto-Produkte zu diesem Zeitpunkt weiterhin sicher verwendet werden können.

Fortgesetzte Reaktion

Die Engineering und Information Security Teams von Datto sind weiterhin voll aktiv und bereit, um:

  • unsere ersten Einschätzungen erneut zu überprüfen
  • zusätzliche Informationen über das Ausmaß der Gefährdung und die betroffenen Technologien und Plattformen zu erhalten
  • bei Bedarf eine Neubewertung der Gefährdung vorzunehmen
  • kommerzielle und Open-Source-Bedrohungsdaten dafür zu nutzen, Veränderungen in den Angriffsmustern zu überwachen und die Reaktionsmaßnahmen bei Bedarf anzupassen
  • weiterhin mit unseren Dienstleistern in Kontakt zu sein. Somit stellen wir sicher, dass das Risiko für unsere Drittanbieter (aus der Sicht unserer Partner „Viertanbieter“) richtig eingeschätzt und angemessen gehandhabt wird

Informationen zur Bedrohung

Das Datto Security Operations Team überwacht die Netzwerkumgebung aktiv auf schädliche Payloads.

Erkennung

Indikatoren für Enumerations- und Exploit-Versuche können in den Protokollen von Software gefunden werden, die log4j nutzt.

Red Canary, Partner von Datto für die Überwachung von Angriffen, hat eine Anleitung veröffentlicht, laut der die folgenden Exploit-Trigger-Strings in verschiedenen Teilen von HTTP-Anfragen (z. B. User-Agent, Benutzername, URI usw.) erwartet werden:

${jndi:ldap://

${jndi:ldaps://

${jndi:rmi://

Das Intrusion Monitoring Team von Datto hat beobachtet, dass Payloads die ${jndi: Exploit-Strings in viele verschiedene Teile von Webanfragen einfügen.

Umgehung

Security-Spezialisten warnen, dass eine Überwachung, die ausschließlich auf dem Musterabgleich von ${jndi: basiert, unvollständig ist, da es eine Reihe von Möglichkeiten gibt, sie zu umgehen. Ein solches Beispiel von Brandon Forbes, das von Katie Nichols von Red Canary über Twitter geteilt wurde, können Sie sich hier ansehen.

Quellen

Es wird inzwischen weithin berichtet, dass TOR-Exit-Nodes den größten Anteil der Scan-Aktivitäten ausmachen. Diese Erkenntnis wird auch von Dattos Überwachung bestätigt. Deshalb sollten Sie sich überlegen, alle eingehenden Verbindungen von TOR-Exit-Knoten zu blockieren.

Command and Control (C2)

Nachfolgend finden Sie eine Liste der C2-Server, die Datto beobachtet hat.

dnslog[.]cn

interactsh[.]com

interact[.]sh

burpcollaborator[.]com

eg0[.]ru

bingsearchlib[.]com

Diese Server könnten zur legitimen Erkundung der Sicherheitslücke, aber auch für bösartige Zwecke verwendet werden. Zum jetzigen Zeitpunkt empfehlen wir, eingehende Anfragen mit diesen C2-Payloads und ausgehende Anfragen mit diesen C2s zu blockieren.

Auffällige Payloads

Anhand unserer Protokolle und Open-Source-Informationen (OSINT) haben wir mehrere C2-IP-Adressen identifiziert, die bösartige Shell-Skripte senden. Das sind nur die ersten von vielen, aber die Untersuchung dieser Adressen kann auf das hindeuten, was noch kommen wird. Deshalb sollte diesen Adressen besondere Aufmerksamkeit gewidmet werden.

lh.sh and lh2.sh

Die Shell-Skripte werden zum Zeitpunkt der Erstellung dieses Berichts nicht bereitgestellt, was eine Offline-Analyse erschwert. Auf der Grundlage von OSINT glauben wir, dass diese Dateien mit aktiven Versuchen in Verbindung stehen:

  1. Systeme für ein DDoS-Botnet zu rekrutieren
  2. Ein System für Coin Mining zu rekrutieren

Blick nach vorn

Die kommenden Tage und Wochen werden herausfordernd sein, da sich die Angriffe nun anpassen und weiterentwickeln. Zudem werden immer mehr Informationen über betroffene Technologien und Plattformen folgen.

Coin Miner und DDoS-Botnets sind nur der Anfang dessen, was wir in den kommenden Tagen erleben werden. Es ist absehbar, dass es in naher Zukunft zu massiven Ausnutzungen kommen wird. Zudem ist es wahrscheinlich, dass Ransomware-Gruppen diese Schwachstelle in ihre Playbooks aufnehmen und Ransomware auf die Sicherheitslücke abzielen wird.

Die gute Nachricht ist, dass noch genug Zeit bleibt, um Maßnahmen zu ergreifen. Nutzen Sie die in diesem Blog enthaltenen Informationen, um sich und Ihre KMU-Kunden zu schützen. Zudem können wir Ihnen versprechen, dass Datto weiterhin wachsam ist.

Monitor für Crypto-Ransomware mit Datto RMM

Laden Sie dieses Datenblatt herunter, um mehr über Datto RMM und die Erkennung von Ransomware zu erfahren.

Ressource anzeigen

Suggested Next Reads