Die Log4j-Sicherheitslücke hält aktuell die Netzwelt in Atem. Log4j ist ein Framework zum Loggen von Anwendungemeldungen in Java, wie die Wikipedia weiß. Die Software ist der Quasi-Standard, um in Software Info- und Fehlermeldungen an geeignete Loggingfunktionen weiterzuleiten, beispielsweise in eine Logdatei. In dieser eigentlich sehr ausgereiften Softwarebibliothek wurde am 10. Dezember 2021 ein Bug entdeckt, der das Einschleusen von Schadcode in den ausführenden Computer ermöglicht. Aufgrund der großen Verbreitung in sehr vielen Services und Lösungen ist diese Sicherheitslücke sehr ernst zu nehmen, so sind laut Wikipedia unter anderem Amazon Web Services, Steam und iCloud betroffen. Von PTC erreichte uns ein interessantes Statement von EVP Chief Technology Officer Steve Dertien zum Umgang mit der Lücke und den Vorteilen, die sich aus der Verwendung von SaaS-Software ergeben.
Apache Log4j 2 Security Vulnerability and the Beauty of SaaS
Expert Commentary: Steve Dertien, EVP Chief Technology Officer, PTC
Als am frühen Freitagmorgen eine große Anzahl von Systemen auf der ganzen Welt von einer kritischen Open-Source-Sicherheitslücke in Log4j betroffen war, konnte PTC seine SaaS-Kunden in Sicherheit bringen. Innerhalb von nur drei Stunden haben wir dieses schwerwiegende Problem für alle Kunden, die Produkte auf unserer SaaS-Plattform Atlas verwenden, entschärft.
Unsere kurze Reaktionszeit war möglich, weil in der Welt der SaaS-Bereitstellung alles hochgradig automatisiert und einfach zu skalieren ist. Die Software wird aktualisiert, ohne dass der Benutzer etwas dafür tun muss. Das bedeutet auch, dass bei kritischen Sicherheits- oder Softwareproblemen keine manuellen Eingriffe beim Kunden erforderlich sind.
Um 3:22 Uhr EST entdeckten die PTC-Ingenieure die Sicherheitslücke in Log4j 2. Schon um 5:30 Uhr EST war die Behebung des Problems auf unsere SaaS-Plattform Atlas übertragen worden. Um 9:27 Uhr EST hatte das Onshape-Team seinen gesamten Service überprüft und war zuversichtlich, dass es keine ausnutzbaren Schwachstellen und kein Risiko für Kundendaten gab. So schaltete PTC die potentielle Bedrohung durch Hintertüren sehr schnell ab. Die gesamte Dauer dieser Aktualisierung war abgeschlossen, bevor die offizielle Erklärung der CVE (Common Vulnerabilities and Exposures Organization) gegen 10:00 Uhr EST veröffentlicht wurde.
Nach Abschluss der Aktualisierung begannen wir mit der Analyse unserer Systeme, um sicherzustellen, dass die Systeme vor der Behebung nicht kompromittiert wurden. Wir fanden keine Beweise für einen Erfolg, aber jede Menge Telemetriedaten, die das wachsende Interesse an der Ausnutzung der Sicherheitslücke zeigen.
In der Zwischenzeit ist der Rest der Welt damit beschäftigt, Hunderte oder Tausende von Systemen manuell zu aktualisieren, meist eines nach dem anderen. Während einer Krise, wie beim plötzlichen Auftreten der Log4j 2-Schwachstelle, ist das eine Ewigkeit, und man kann nur vermuten, dass die Gelegenheit für einen Angriff durch eine Hintertür bereits genutzt wurde.
PTC Response Center Log4j 2 Vulnerability
Empower & Onboard your Business with World’s 1st FaaS (FOSS as a Service) – OneHash CRM
Start a Risk-Fr… https://t.co/vOIb8hhPFp