Experten-Kommentar: Steve Dertien, EVP Chief Technology Officer, PTC
Als am frühen Freitagmorgen letzter Woche eine große Anzahl von Systemen auf der ganzen Welt von einer kritischen Open-Source-Sicherheitslücke in Log4j betroffen war, konnte PTC seine SaaS-Kunden in Sicherheit bringen. Innerhalb von nur drei Stunden haben wir dieses schwerwiegende Problem für alle Kunden, die Produkte auf unserer SaaS-Plattform Atlas verwenden, entschärft. Log4j ist ein Framework zum Loggen von Anwendungsmeldungen in Java. Es hat sich über die Jahre hinweg zu einem De-facto-Standard entwickelt.
Unsere kurze Reaktionszeit war möglich, weil in der Welt der SaaS-Bereitstellung alles hochgradig automatisiert und einfach zu skalieren ist. Die Software wird aktualisiert, ohne dass der Benutzer etwas dafür tun muss. Das bedeutet auch, dass bei kritischen Sicherheits- oder Softwareproblemen keine manuellen Eingriffe beim Kunden erforderlich sind.
Um 3:22 Uhr EST entdeckten die PTC-Ingenieure die Sicherheitslücke in Log4j 2, und um 5:30 Uhr EST war die Behebung des Problems auf unsere SaaS-Plattform Atlas übertragen worden. Um 9:27 Uhr EST hatte das Onshape-Team seinen gesamten Service überprüft und war zuversichtlich, dass es keine ausnutzbaren Schwachstellen und kein Risiko für Kundendaten gab. Die gesamte Dauer dieser Aktualisierung war abgeschlossen, bevor die offizielle Erklärung der CVE (Common Vulnerabilities and Exposures Organization) gegen 10:00 Uhr EST veröffentlicht wurde.
Nach Abschluss der Aktualisierung begannen wir mit der Analyse unserer Systeme, um festzustellen, ob die Systeme vor der Behebung erfolgreich ausgenutzt worden waren. Wir fanden keine Beweise für einen Erfolg, aber jede Menge Telemetriedaten, die das wachsende Interesse an der Ausnutzung der Sicherheitslücke zeigen.
In der Zwischenzeit ist der Rest der Welt damit beschäftigt, Hunderte oder Tausende von Systemen manuell zu beheben, meist eines nach dem anderen. Während einer Krise, wie beim plötzlichen Auftreten der Log4j 2-Schwachstelle, ist das eine Ewigkeit, und man kann nur vermuten, dass die Gelegenheit für einen Angriff durch eine Hintertür bereits genutzt wurde.
Hinweis: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für die Log4J-Sicherheitslücke (CVE-2021-44228) die höchste Warnstufe (4/Rot) ausgesprochen. Der Fehler erlaubt Angreifern, Schadcode auf verwundbare Webserver zu schleusen und diese dadurch zu kompromittieren. Da die betroffene Java-Bibliothek weit verbreitet ist, sind sehr viele Lösungen und Systeme aller Branchen und Unternehmensgrößen durch den Fehler gefährdet.
