Virtuelles Patching

Virtuelles Patching (auch externes Patching oder Just-in-Time-Patching genannt) ist eine Sicherheitstechnik, bei der WAF-Regeln erstellt werden, um die Ausnutzung bekannter Schwachstellen zu blockieren, ohne den zugrunde liegenden Anwendungscode zu ändern. Dies bietet sofortigen Schutz, während Entwicklungsteams an permanenten Code-Fixes arbeiten.

Virtuelles Patching ist wertvoll, wenn:

• Eine Zero-Day-Schwachstelle bekannt gegeben wird, bevor ein Patch verfügbar ist
• Legacy-Anwendungen nicht einfach gepatcht werden können
• Testen und Deployment von Patches Zeit in Anspruch nimmt
• Drittanbieter-Komponenten ungepatchte Schwachstellen haben
• Sofortiger Notfallschutz erforderlich ist

Virtuelle Patches funktionieren durch:

• Blockierung spezifischer Anfragemuster, die Schwachstellen ausnutzen
• Filterung bösartiger Payloads, bevor sie die Anwendung erreichen
• Validierung von Eingaben gegen erwartete Muster

Als die Log4Shell-Schwachstelle bekannt wurde, veröffentlichten WAF-Anbieter schnell virtuelle Patches, die Exploit-Versuche mit dem ${jndi:ldap://-Muster blockierten und Anwendungen schützten, bevor Software-Patches verfügbar waren.