PCG logo
Fallstudie

Cybersecurity für Managed Applications: 24 Stunden bis zum Lückenschluss

Die Herausforderung

Sydney, 2. Juni 2022 06:25 Ortszeit – Draußen sind es neun Grad Celsius. Dagegen geht es in der Zentrale des Softwareanbieters Atlassian heiß her. Die Verantwortlichen erkennen: Ihre Software Confluence hat eine bisher unbekannte Schwachstelle, im Jargon der Security-Expert:innen ein Zero-Day-Exploit. Gemeint ist eine Sicherheitslücke, die gerade erst entdeckt worden ist, am Tag Null ihrer Lebensdauer. Cybersecurity hat die Aufgabe, sie Tag Eins nicht mehr erleben zu lassen.

Die Öffentlichkeit informieren und Gegenmaßnahmen entwickeln

Sydney, 2. Juni 2022 06:30 Ortszeit – Die Security-Expert:innen von Atlassian legen los. Zuerst arbeiten sie an Maßnahmen, mit denen die Sicherheitslücke vorläufig geschlossen wird. Parallel tragen sie alle Informationen in einer E-Mail für die Confluence-Nutzer:innen zusammen.

Die SchwachstelleExternal Link ermöglicht Cyberkriminellen einen sogenannten Remote Code Execution (RCE)-Angriff. Sie können damit beliebigen Programmcode unerlaubt ausführen. Die Angreifer haben jetzt alle Möglichkeiten: Malware ausführen, die Kontrolle über den Computer übernehmen, Datenverluste, Datendiebstahl, tagelange Ausfälle. Die Horrorliste der Folgen ist lang, ein RCE-Angriff gehört zu den gefährlichsten Cyberattacken, die es gibt.

Sydney, 2. Juni 2022 06:50 Ortszeit – Atlassian verschickt E-Mails an alle Nutzer:innen und veröffentlicht die Informationen auf seiner Website. Damit ist das Wissen über die Schwachstelle in der Welt. Wie immer werden die Informationen von Security-Expert:innen rasch weiterverteilt, über Blogs und Diskussionsforen.

Auf diese Weise erfahren auch Cyberkriminelle von der Schwachstelle. Die Erfahrung zeigt, dass Malware-Entwickler:innen sofort loslegen und versuchen, die Lücke mit einem Schadprogramm auszunutzen. Auch die Entwickler:innen von Atlassian sind schon längst aktiv. Unter Hochdruck arbeiten sie an einem neuen Release der Software ohne die Lücke. Denn Geschwindigkeit ist in dieser Situation wichtig. Security-Spezialist:innen und Cyberkriminelle liefern sich ein Rennen: Wer ist schneller? Der Patch oder die erste Malware?

Die Lösung

Berlin, 3. Juni 2022 0:56 Uhr Ortszeit – Die E-Mail von Atlassian trifft bei PCG ein. Da Sydney zeitlich acht Stunden vor Berlin liegt, ist hier Nacht. Doch mindestens eine Person schläft nicht. Der Bereitschaftsdienst liest sich die Informationen durch und informiert sofort alle relevanten Administrator:innen und Entwickler:innen über Slack.

Risikobewertung und schnelle erste Hilfe

Berlin, 3. Juni 2022 08:00 Ortszeit – Die Admins und Security-Spezialist:innen arbeiten bereits. Sie analysieren die Infos von Atlassian und die Lage in ihrer eigenen Infrastruktur. Die erste Erkenntnis: Glücklicherweise ist aufgrund der Architektur nur Confluence betroffen.

Die Anwendung läuft in einer Container-Infrastruktur, die keine Auswirkung auf andere Systeme zulässt. Denn die einzelnen Container sind voneinander und von allen anderen Anwendungen getrennt. Eine Malware kann deshalb nicht auf andere Prozesse zugreifen und noch mehr Schaden anrichten.

Die von Atlassian empfohlene Abhilfe ist schnell verwirklicht. Dazu gehört das Blockieren von Anfragen, die bestimmten URL-Mustern entsprechen, und eine Beschränkung des Zugriffs auf Instanzen durch sogenanntes IP-Whitelisting. Nun können nur noch bestimmte Netzwerkadressen auf die Confluence-Umgebung zugreifen. Nach und nach treffen weitere Infos ein. Atlassian empfiehlt den Ersatz einiger Dateien und nennt einen Zeitplan für die Veröffentlichung des Patches, der die Lücke endgültig schließt.

Die Lücke ist geschlossen: Rollout der Fehlerkorrektur

Berlin, 3. Juni 2022 11:00 Ortszeit – Alle Abwehrmaßnahmen sind in Kraft. Insgesamt betraf diese Schwachstelle eine Reihe von Kunden, die während der ganzen Zeit auf dem neuesten Informationsstand gehalten wurden. Anschließend begannen die Vorbereitungen für einen Rollout der korrigierten, neuen Confluence-Version.

Sydney, 3. Juni 2022 12:30 Ortszeit – Die Entwickler:innen von Atlassian haben die Sicherheitslücke geschlossen und verteilen das Update über die üblichen Kanäle. In Berlin ist es jetzt 19:30 Uhr. Der Rollout beginnt unmittelbar nach Eintreffen der neuen Anwendungspakete. Er läuft selbsttätig, da die Infrastruktur automatisiert ist. Bis jetzt gibt es keine Security-Probleme, die Container fahren problemlos hoch.

Berlin, 3. Juni 2022 22:00 Uhr Ortszeit – Die Admins stellen einen ersten Versuch fest, die Schwachstelle auszunutzen, der aber an den Gegenmaßnahmen scheitert. Dabei handelt es sich um ein „Proof of Concept (PoC)“. Der Angreifer prüft lediglich, ob die Schwachstelle vorhanden ist, und richtet noch keinen Schaden an. Dieses Vorgehen ist typisch für Cyberkriminelle. Sie testen so lange Netzadressen und Ports durch, bis sie eine nicht korrigierte Sicherheitslücke finden.

Dank der Gegenmaßnahmen war der Angriff erfolglos. Das zeigt: Ein zuverlässiges Schwachstellenmanagement, bewährte Betriebsprozesse und eine effiziente Infrastrukturautomatisierung sind entscheidend für den sicheren Betrieb einer IT-Infrastruktur. Sie erlauben rasche Reaktionen und schützen die Kundensysteme zuverlässig.

Berlin, 3. Juni 2022 23:00 Uhr Ortszeit – Der Rollout ist beendet. Alle Confluence-Instanzen sind sicher und nutzen die neue Version ohne Schwachstelle. Keine besonderen Ereignisse, sehr viele Leute atmen erleichtert auf.

Resultate und Vorteile

Die Geschichte der Sicherheitslücke in Confluence zeigt, wie wichtig schnelle Reaktionen in der Cybersecurity sind. Kriminelle dürfen keine Chance haben, eine neu erkannte Schwachstelle auszunutzen. Doch das erfordert dauernde Wachsamkeit und die richtigen Prozesse, um blitzschnell zu reagieren und die Lücke zu schließen.

Hand aufs Herz: Ist Ihr Unternehmen dazu in der Lage? Auch nachts oder am Wochenende? Sind Sie vorbereitet? Sehr wahrscheinlich ist Ihr Geschäftsbetrieb stark vom Funktionieren der IT abhängig. Deshalb gehört das Schwachstellenmanagement in die Hände von erfahrenen Security-Expert:innen – als Teil eines Managed Service, der Sie ruhig schlafen lässt.

Über PCG

Die Public Cloud Group (PCG) unterstützt Unternehmen bei ihrer digitalen Transformation durch den Einsatz von Public Cloud-Lösungen.

Mit einem Portfolio, das darauf ausgerichtet ist, Unternehmen aller Größe auf ihrer Cloud Journey zu begleiten, sowie der Kompetenz von zahlreichen zertifizierten Expert:innen, mit denen Kunden und Partner gerne zusammenarbeiten, positioniert sich PCG als verlässlicher und vertrauenswürdiger Partner der Hyperscaler.

Als erfahrener Partner der drei relevanten Hyperscaler (Amazon Web Services (AWS), Google Cloud und Microsoft Cloud) hält PCG die höchsten Auszeichnungen der jeweiligen Anbieter und berät Sie als unsere Kunden in Ihrer Cloud Journey unabhängig.


Weiterlesen

Artikel
Big Data
Machine Learning
KI
Google Gemini 2.0 ist da – intelligenter, schneller, multimodal

Entdecken Sie Gemini 2.0: Googles KI-Modell mit Agenten für mehr Effizienz und Innovation in Unternehmen.

Mehr erfahren
Neuigkeiten
Über den Wolken: PCG's Glanzleistung bei der AWS LeadMaster Challenge 2024

Wow, was für ein Triumph! Die Public Cloud Group hat bei der AWS Summit 2024 Lead Master Challenge abgeräumt wie ein Rockstar beim Grammy-Verleih.

Mehr erfahren
Artikel
AWS-Veranstaltungen 2025: Die Zukunft ist Cloud

Als führender AWS Premier Partner blicken wir mit Spannung auf das Jahr 2025 und die wegweisenden AWS-Veranstaltungen.

Mehr erfahren
Fallstudie
Sport
Managed Services
Keine eigene IT, keine Probleme: FC St. Pauli vertraut auf Zero-IT-Strategie mit Microsoft Azure

Der FC St. Pauli verfolgt einen Zero-IT-Ansatz und verfügt über keine eigenständige IT-Abteilung. Die Herausforderung bestand daher darin, einen geeigneten Partner zu finden.

Mehr erfahren
Alles sehen

Gemeinsam durchstarten

United Kingdom
Arrow Down