Sydney, 2. Juni 2022 06:25 Ortszeit – Draußen sind es neun Grad Celsius. Dagegen geht es in der Zentrale des Softwareanbieters Atlassian heiß her. Die Verantwortlichen erkennen: Ihre Software Confluence hat eine bisher unbekannte Schwachstelle, im Jargon der Security-Expert:innen ein Zero-Day-Exploit. Gemeint ist eine Sicherheitslücke, die gerade erst entdeckt worden ist, am Tag Null ihrer Lebensdauer. Cybersecurity hat die Aufgabe, sie Tag Eins nicht mehr erleben zu lassen.

Die Öffentlichkeit informieren und Gegenmaßnahmen entwickeln

Sydney, 2. Juni 2022 06:30 Ortszeit – Die Security-Expert:innen von Atlassian legen los. Zuerst arbeiten sie an Maßnahmen, mit denen die Sicherheitslücke vorläufig geschlossen wird. Parallel tragen sie alle Informationen in einer E-Mail für die Confluence-Nutzer:innen zusammen.

Die Schwachstelle ermöglicht Cyberkriminellen einen sogenannten Remote Code Execution (RCE)-Angriff. Sie können damit beliebigen Programmcode unerlaubt ausführen. Die Angreifer haben jetzt alle Möglichkeiten: Malware ausführen, die Kontrolle über den Computer übernehmen, Datenverluste, Datendiebstahl, tagelange Ausfälle. Die Horrorliste der Folgen ist lang, ein RCE-Angriff gehört zu den gefährlichsten Cyberattacken, die es gibt.

Sydney, 2. Juni 2022 06:50 Ortszeit – Atlassian verschickt E-Mails an alle Nutzer:innen und veröffentlicht die Informationen auf seiner Website. Damit ist das Wissen über die Schwachstelle in der Welt. Wie immer werden die Informationen von Security-Expert:innen rasch weiterverteilt, über Blogs und Diskussionsforen.

Auf diese Weise erfahren auch Cyberkriminelle von der Schwachstelle. Die Erfahrung zeigt, dass Malware-Entwickler:innen sofort loslegen und versuchen, die Lücke mit einem Schadprogramm auszunutzen. Auch die Entwickler:innen von Atlassian sind schon längst aktiv. Unter Hochdruck arbeiten sie an einem neuen Release der Software ohne die Lücke. Denn Geschwindigkeit ist in dieser Situation wichtig. Security-Spezialist:innen und Cyberkriminelle liefern sich ein Rennen: Wer ist schneller? Der Patch oder die erste Malware?

Risikobewertung und schnelle erste Hilfe

Berlin, 3. Juni 2022 0:56 Uhr Ortszeit – Die E-Mail von Atlassian trifft bei kreuzwerker ein. Da Sydney zeitlich acht Stunden vor Berlin liegt, ist hier Nacht. Doch mindestens eine Person schläft nicht. Der Bereitschaftsdienst liest sich die Informationen durch und informiert sofort alle relevanten Administrator:innen und Entwickler:innen über Slack.

Berlin, 3. Juni 2022 08:00 Ortszeit – Die Admins und Security-Spezialist:innen arbeiten bereits. Sie analysieren die Infos von Atlassian und die Lage in ihrer eigenen Infrastruktur. Die erste Erkenntnis: Glücklicherweise ist aufgrund der Architektur nur Confluence betroffen.

Die Anwendung läuft in einer Container-Infrastruktur, die keine Auswirkung auf andere Systeme zulässt. Denn die einzelnen Container sind voneinander und von allen anderen Anwendungen getrennt. Eine Malware kann deshalb nicht auf andere Prozesse zugreifen und noch mehr Schaden anrichten.

Die von Atlassian empfohlene Abhilfe ist schnell verwirklicht. Dazu gehört das Blockieren von Anfragen, die bestimmten URL-Mustern entsprechen, und eine Beschränkung des Zugriffs auf Instanzen durch sogenanntes IP-Whitelisting. Nun können nur noch bestimmte Netzwerkadressen auf die Confluence-Umgebung zugreifen. Nach und nach treffen weitere Infos ein. Atlassian empfiehlt den Ersatz einiger Dateien und nennt einen Zeitplan für die Veröffentlichung des Patches, der die Lücke endgültig schließt.

Die Lücke ist geschlossen: Rollout der Fehlerkorrektur

Berlin, 3. Juni 2022 11:00 Ortszeit – Alle Abwehrmaßnahmen sind in Kraft. Insgesamt betraf diese Schwachstelle eine Reihe von Kunden, die während der ganzen Zeit auf dem neuesten Informationsstand gehalten wurden. Anschließend begannen die Vorbereitungen für einen Rollout der korrigierten, neuen Confluence-Version.

Sydney, 3. Juni 2022 12:30 Ortszeit – Die Entwickler:innen von Atlassian haben die Sicherheitslücke geschlossen und verteilen das Update über die üblichen Kanäle. In Berlin ist es jetzt 19:30 Uhr. Der Rollout beginnt unmittelbar nach Eintreffen der neuen Anwendungspakete. Er läuft selbsttätig, da die Infrastruktur automatisiert ist. Bis jetzt gibt es keine Security-Probleme, die Container fahren problemlos hoch.

Berlin, 3. Juni 2022 22:00 Uhr Ortszeit – Die Admins stellen einen ersten Versuch fest, die Schwachstelle auszunutzen, der aber an den Gegenmaßnahmen scheitert. Dabei handelt es sich um ein „Proof of Concept (PoC)“. Der Angreifer prüft lediglich, ob die Schwachstelle vorhanden ist, und richtet noch keinen Schaden an. Dieses Vorgehen ist typisch für Cyberkriminelle. Sie testen so lange Netzadressen und Ports durch, bis sie eine nicht korrigierte Sicherheitslücke finden.

Dank der Gegenmaßnahmen war der Angriff erfolglos. Das zeigt: Ein zuverlässiges Schwachstellenmanagement, bewährte Betriebsprozesse und eine effiziente Infrastrukturautomatisierung sind entscheidend für den sicheren Betrieb einer IT-Infrastruktur. Sie erlauben rasche Reaktionen und schützen die Kundensysteme zuverlässig.

Berlin, 3. Juni 2022 23:00 Uhr Ortszeit – Der Rollout ist beendet. Alle Confluence-Instanzen sind sicher und nutzen die neue Version ohne Schwachstelle. Keine besonderen Ereignisse, sehr viele Leute atmen erleichtert auf.

Fazit: Schwachstellenmanagement gehört dazu

Die Geschichte der Sicherheitslücke in Confluence zeigt, wie wichtig schnelle Reaktionen in der Cybersecurity sind. Kriminelle dürfen keine Chance haben, eine neu erkannte Schwachstelle auszunutzen. Doch das erfordert dauernde Wachsamkeit und die richtigen Prozesse, um blitzschnell zu reagieren und die Lücke zu schließen.

Hand aufs Herz: Ist Ihr Unternehmen dazu in der Lage? Auch nachts oder am Wochenende? Sind Sie vorbereitet? Sehr wahrscheinlich ist Ihr Geschäftsbetrieb stark vom Funktionieren der IT abhängig. Deshalb gehört das Schwachstellenmanagement in die Hände von erfahrenen Security-Expert:innen – als Teil eines Managed Service, der Sie ruhig schlafen lässt.