MENU Schließen
Schließen

Release Notes 3.8.0 – 08.03.2022

Penetrationstest: Check auf Log4Shell | Systemevents: Gruppenrichtlinienänderungen überwachen, Alarm auf Anmeldungen besser spezifizieren

Die Sicherheitslücke in der Java-Bibliothek Log4j sorgte zum Ende des vergangenen Jahres für viel Aufregung und Verunsicherung. Mit der Integration des Pentest-Checks auf die Anfälligkeit für Log4Shell erhalten Sie ein weiteres Werkzeug, um der Schwachstelle den Kampf anzusagen.

SaaS: ab sofort | On-Premises: ab sofort

Mit Penetrationstest auf Log4Shell prüfen

Bereits seit Dezember 2021 lassen sich mit dem Enginsight Pulsar-Agent von der Sicherheitslücke Log4j betroffene Server erkennen sowie Angriffe auf ebendiese detektieren und blockieren. Mit der Implementierung des Angriffvektors in den automatisierten Pentest ist ein Check auf die Schwachstelle jetzt auch aus Angreiferperspektive, d.h. von außen, möglich.

Anfällig für Log4Shell (CVE-2021-44228)Eine verwundbare Version des Java-Frameworks Log4j, die sich für Log4Shell-Attacken ausnutzen lässt, wird verwendet (CVE-2021-44228). Achtung: Eine Konnektivität vom Zielsystem zu Hacktor (Portrange: 1-1000) muss sichergestellt sein, damit der Check korrekte Ergebnisse liefert.

Dazu provoziert die Pentest-Komponente Hacktor beim Zielsystem ein Verhalten. Anhand der Antwort des Zielsystems kann Hacktor feststellen, ob das Zielsystem betroffen ist. Deshalb ist es notwendig, dass es dem Zielsystem erlaubt ist, mit Hacktor zu kommunizieren. Nur wenn eine Konnektivität vom Zielsystem zu Hacktor (Portrange 1-1000) gewährleistet ist, kann der Check daher funktionieren. Passen Sie ggf. Ihre Firewalleinstellungen an bzw. beachten Sie dies bei der Installation des Hacktors. Installieren Sie Hacktor zum Beispiel in der DMZ mit einer Portweiterleitung für die Range 1-1000. Für externe Ziele bietet sich auch ein ebenso extern installierter Hacktor an (z.B. bei AWS).

Über folgende Services wird das Zielsystem auf die Anfälligkeit für Log4Shell überprüft:

  • HTTP
  • SSH
  • FTP
  • SMTP
  • IMAP

Wenn Sie eine Verwundbarkeit durch Log4Shell feststellen, überprüfen Sie, welche Anwendung die veraltete und unsichere Version des Java Frameworks Log4j nutzt (2.0-beta9 bis einschließlich 2.14.1). Daraufhin sollte die aktuelle Version der entsprechenden Software eingespielt werden. Sofern auch die aktuelle Version der Software für Log4Shell Attacken anfällig ist, ziehen Sie in Betracht, Zugriffe deutlich einzuschränken. Darüber hinaus sollte mit einem IDS/IPS der Netzwerkverkehr auf Log4Shell untersucht und Angriffe blockiert werden.

Neue Alarme auf Systemevents

Mit Enginsight können Sie sicherheitsrelevante Log-Dateien mitschneiden und analysieren. Zwei neue Alarme erweitern die Möglichkeiten, über kritische Vorfälle informiert zu werden.

Gruppenrichtlinienänderungen überwachen

Gruppenrichtlinien sind ein wichtiges Werkzeug, um in Windows-Umgebungen Einstellungen und Rechte effektiv zu verwalten. Änderungen können aus Sicherheitsperspektive potenziell eine große Relevanz besitzen.

Es ist daher sinnvoll, über Änderungen an den Gruppenrichtlinien informiert zu sein, um unautorisierte Änderungen unmittelbar zu erkennen. Der neue Alarm „Gruppenrichtlinienänderung“ ermöglicht Ihnen, das einfach umzusetzen. So können Sie zum Beispiel ein Vier-Augen-Prinzip einführen.

Anmeldung zu ungewöhnlicher Uhrzeit detektieren

Auf erfolgreiche und fehlgeschlagene Anmeldeversuche einen Alarm zu schalten, stellt eine einfache wie effektive Methode zur Kontrolle des Access Managements dar. Ungewöhnlich viele Anmeldeversuche können darüber hinaus ein Anzeichen für einen Cyberangriff sein. Daher lassen sich die Alarme auf Anmeldeversuche bei Enginsight auf eine Anzahl von Versuchen in einem bestimmten Intervall beschränken. Neu hinzugekommen ist die Möglichkeit, einen Zeitraum festzulegen, in dem die Alarme auslösen sollen. Legen Sie zum Beispiel einen betrachteten Zeitraum außerhalb der Geschäftszeiten fest, um ungewöhnliche Anmeldeevents gezielter zu detektieren.

Inhalt

Mehr zum Thema:

Kommende Events & Webcasts:

Weitere Beiträge im Enginsight Blog