Zscaler Blog

In einem Webinar am Mittwoch, den 15. Dezember, informieren Experten von Zscaler ThreatLabz umfassend über neue Sicherheitsrisiken im Zusammenhang mit dem Sicherheitsrisiko Apache CVE-2021-44228 und stellen Gegenmaßnahmen für zukünftige Sicherheitsrisiken vor.

Vor Kurzem wurde ein Zero-Day-Sicherheitsrisiko (CVE-2021-44228) in der beliebten Apache Log4j-Protokollbibliothek entdeckt, die Angreifern potenziell eine vollständige Remote-Ausführung von Code ermöglicht. Es gibt Hinweise darauf, dass diese Schwachstelle bereits ausgenutzt wird. Die Protokollbibliothek wird häufig von Unternehmensanwendungen und Cloud-Services genutzt, und viele Bereitstellungen in Unternehmen unterstützen private Apps. Mittlerweile hat Apache neben einem Sicherheitsupdate auch empfohlene Konfigurationen für ältere Versionen veröffentlicht, die die Gefahr durch das Sicherheitsrisiko abmildern sollen. IT-Administratoren sollten nun ihre Software umgehend aktualisieren, falls noch nicht geschehen.

Laut Zscaler gab es keine Beeinträchtigung der eigenen Services durch das Sicherheitsrisiko CVE-2021-44228. Der Warnhinweis von ThreatLabz enthält zusätzliche technische Einzelheiten zu diesem Sicherheitsrisiko. Beim Verdacht auf eine Beeinträchtigung kann eine ergänzende Analyse der Angriffsfläche im Internet mögliche externe Angriffsflächen bei der Verwendung von Apache aufzeigen.

Angesichts der großen Verbreitung von Apache Struts und ähnlichen Diensten in der Unternehmenswelt können die Folgen dieses Sicherheitsrisikos noch Monate oder gar Jahre nachwirken und zu Ransomware- und Cybercrime-Angriffen in unkalkulierbarem Ausmaß führen. Ähnliche Vorfälle gab es bereits bei Heartbleed und Shellshock, was zeigt, dass starke digitale Vernetzung unweigerlich mit Risiken verbunden ist.

In diesem Zusammenhang wird auch deutlich, dass VPNs und Firewalls Unternehmen lange nicht so gut schützen wie eine echte Zero-Trust-Netzwerkarchitektur. Warum Firewalls und VPNs ein signifikantes Sicherheitsrisiko darstellen, wenn eine betroffene Apache-Version bei einer internen App eingesetzt wird, erklärt sich wie folgt:

• In Legacy-Netzwerken werden Applikationen im Internet bereitgestellt, was Angreifer in die Lage versetzt, sie mit frei verfügbaren Tools wie Shodan aufzuspüren und zu hacken.
• Bei der Verwendung von Firewalls und VPNs können User nur dann auf Anwendungen zugreifen, wenn sie im Netzwerk sind. Angreifer oder kompromittierte User können sich dadurch lateral im Unternehmen bewegen, um Ransomware zu platzieren oder Daten zu stehlen, sobald sie durch ein Sicherheitsrisiko Zugriff erhalten haben. Der Zugriff auf Anwendungen sollte nie den Zugang zum Netzwerk voraussetzen.
• Die Pandemie war bekanntermaßen ein Katalysator für die Entwicklung hin zu einer hybriden Belegschaft. In diesem Zusammenhang wurde deutlich, dass Firewalls und VPNs nicht nur signifikante Sicherheitsrisiken bergen, sondern auch langsam, veraltet und zu komplex für den Zugriff auf private Apps bei Remote-Arbeit sind. Diese Ansätze sind unsicher und verursachen eine schlechte Anwendererfahrung.

Firewalls und VPNs gehören daher so bald wie möglich ersetzt. Die Umstellung verlangt eine Planung über mehrere Monate und geschieht nicht über Nacht, trägt aber wie kaum etwas anderes zu mehr digitaler Sicherheit im Unternehmen bei.

Vier einfache Schritte zur Prävention mit einer Zero-Trust-Architektur:

Die Vorteile von Zero Trust gegenüber herkömmlichen Ansätzen sind hinreichend bekannt. An dieser Stelle fassen wir sie im Zusammenhang mit dem Apache-Sicherheitsrisiko zusammen.

Im konkreten Fall wurde bei Alibaba Cloud ein Zero-Day-Sicherheitsrisiko entdeckt. Es erforderte ein Not-Sicherheitsupdate, ohne das alle Kunden eine anfällige Version ausgeführt hätten und gefährdet gewesen wären. Darüber hinaus hätten potenzielle Angreifer das vollständige Recht einer Remote-Codeausführung gehabt – und damit uneingeschränkten Administratorzugriff auf den zugrundeliegenden Apache-Service und sämtliche Daten darin. Um dieses Sicherheitsrisiko auszunutzen, muss ein Angreifer zunächst die Anwendung selbst finden. Das wiederum kann wie folgt verhindert werden:

1. Minimale Angriffsfläche und unsichtbare Anwendungen: Eine Zero-Trust-Architektur wie Zscaler Zero Trust Exchange und insbesondere Zscaler Private Access (ZPA) macht interne Apps für das Internet völlig unsichtbar. Hinter der Zero-Trust-Plattform sind die Anwendungen auch bei Sicherheitsrisiken wie bei Apache heute wie in Zukunft nicht durch Angreifer auffindbar und können dadurch auch nicht durch sie ausgenutzt werden – mit Legacy-VPNs und Firewalls undenkbar.
   

2. Anwendungszugriff ausschließlich für autorisierte User: Die wirksamste Form der Cybersicherheit ist ein mehrschichtiger Abwehrmechanismus innerhalb einer integrierten Plattform. Mit Zscaler sind die Anwendungen nicht nur unsichtbar, der Zugriff darauf ist allein Usern vorbehalten, die sich richtlinienbasiert und mit einer unveränderlichen Identität bei einem renommierten Anbieter wie Azure AD, Okta, Duo oder Ping autorisieren. Ohne Autorisierung sind Angreifer so nicht in der Lage, auf eine angreifbare Anwendung zuzugreifen.
   
   Sollte es einem Angreifer gelingen, seinen sinnbildlichen Fuß in die Tür des Unternehmensnetzwerk zu bekommen, sei es durch Ausnutzung der Schwachstelle bei Apache oder auf einem anderen Weg, folgt unweigerlich der Versuch einer lateralen Bewegung, der Kompromittierung weiterer Systeme, der Installation von Ransomware und der Exfiltration von Daten. Das macht die folgenden Schritte erforderlich:
   

3. Mikrosegmentierung (User-zu-App und App-zu-App) gegen laterale Ausbreitung: ZPA entkoppelt den Anwendungszugriff vom Netzwerkzugriff, indem User über einen Reverse-Tunnel direkt mit den Ressourcen verbunden werden, ohne dass sie dafür ins Netzwerk gehen müssen. Durch diese Trennung kommen Angreifer nicht weiter als bis zu den kompromittierten Anwendungen – das Netzwerk bleibt abgeschirmt. Darüber hinaus kann die Zero Trust Exchange eine Zero-Trust-Policy auf Workloads in öffentlichen Clouds ausweiten. Das ist möglich durch die Zscaler Workload Segmentation, die eine laterale Ausbreitung von Angriffen in Rechenzentren und Cloud-Umgebungen verhindert. In all diesen Fällen verhindert die Zscaler-Plattform, dass sich eine Infektion auf einem einzelnen Server auf das gesamte Unternehmensnetzwerk ausbreiten kann.
   
4. Überprüfung von eingehendem UND ausgehendem Traffic. Sichtbarkeit und Überwachung sind die Eckpfeiler von Zero Trust. Durch die Überprüfung von sowohl verschlüsseltem als auch von unverschlüsseltem Traffic können nicht nur Schäden durch die vom Internet her anrückenden Angreifer blockiert werden, sondern auch alle auf die Angriffe folgenden Aktivitäten wie etwa die Kommunikation mit Command-and-Control-Servern oder die Datenexfiltration. Zero Trust Zscaler Internet Access (ZIA) leistet beides. Beim Schutz vor komplexen Bedrohungen durch ZIA wird der Traffic vom Internet zum Server genauso wie der vom Server zum Internet überprüft. Dabei wird nach Anzeichen von bekannten zirkulierenden Exploits gesucht und erkannte Angriffe werden blockiert sowie eingedämmt.

Unternehmen mit Firewalls und VPNs sind bei Zero-Day-Sicherheitsrisiken schutzlos – es ist also höchste Zeit für eine echte Zero-Trust-Architektur mit Zscaler Zero Trust Exchange und das Aufgeben von Firewalls sowie VPNs.

Eine individuelle Zero-Trust-Exchange-Demo ist der erste Schritt.

Anhand einer kostenlosen Analyse der Internetangriffsfläche kann eine eventuelle externe Angriffsfläche bei der Verwendung von Apache festgestellt werden.

Im Webinar am Mittwoch, den 15 Dezember, beleuchten Experten das Sicherheitsrisiko von Apache genauer und geben hilfreiche Ratschläge.