Azul hat ein kostenloses JVM Vulnerability Risk Assessment vorgestellt, das Unternehmen Schwachstellen in ihrer Java Virtual Machine (JVM) als Teil der Java-Laufzeitumgebung (Java Runtime Environment, JRE) aufzeigt.
Azul, ein Anbieter von Enterprise-Java-Plattformen, bietet mit dem kostenlosen JVM Vulnerability Risk Assessment DevOps- und SecOps-Teams zusätzliche Transparenz. Es soll verborgene Sicherheitsrisiken in Java-Laufzeitumgebungen sichtbar machen, bevor diese ausgenutzt werden. Es ist direkt über Azul sowie über ausgewählte Partner verfügbar und soll deren Sicherheits-, Lizenzierungs- und Compliance-Angebote ergänzen.
Azul begründet den Schritt mit einer veränderten Bedrohungslage. Während die Identifikation und gezielte Ausnutzung von Zero-Day-Schwachstellen in der Java-Umgebung lange Zeit tiefgreifende JVM-Kenntnisse und monatelange Analysearbeit voraussetzte, verweist das Unternehmen auf Beobachtungen im Zusammenhang mit dem KI-Modell Claude Mythos von Anthropic. Diesem zufolge könnten autonome KI-Systeme inzwischen eigenständig unbekannte Schwachstellen aufdecken und im großen Maßstab funktionsfähige Exploit-Pfade generieren. Die durchschnittliche Zeit bis zur Ausnutzung einer Schwachstelle (Mean Time to Exploit, MTTE) sinke dadurch von Monaten auf teilweise nur noch Tage oder Stunden.
Das Assessment umfasst laut Azul vier Bestandteile: ein Sicherheits-Dashboard mit einer Übersicht des Java-Stacks nach Risikostufe, Anbieter und Version; eine Risikoaufschlüsselung zur Priorisierung von Patches; Kennzahlen zu Known Exploited Vulnerabilities (KEV) gemäß dem Katalog der US-Behörde CISA sowie zu End-of-Life-Instanzen; und einen priorisierten Maßnahmenplan für Patch- und Migrationsschritte.
Jenny Nelson, Head of ICT & Digital beim Newcastle City Council, wird in der Mitteilung mit den Worten zitiert, die Partnerschaft mit Azul habe das Sicherheitsrisiko bei Java-Anwendungen reduziert und die Java-Umgebung der Behörde standardisiert und vereinfacht.
Als zentrales Verteidigungsinstrument nennt Azul die Geschwindigkeit, mit der Schwachstellen gepatcht werden. Das Unternehmen verweist auf vierteljährliche Critical Patch Updates (CPUs), die ausschließlich CVE-Fixes enthalten sollen, sowie auf außerplanmäßige Notfall-Fixes für Schwachstellen, die sofortiges Handeln erfordern. Azul Core wird als einzige OpenJDK-Distribution beschrieben, die reine Security-only-Updates anbietet. Ergänzend soll vollständige Transparenz über JVM-Instanzen geschaffen werden, einschließlich eingebetteter und nicht verwalteter Laufzeiten, die bei klassischer Asset-Erkennung häufig unentdeckt bleiben.
Besondere Relevanz sieht Azul für regulierte Branchen wie Finanzdienstleistungen, Gesundheitswesen, Versorgungswirtschaft und öffentliche Verwaltung, die oft große Java-Stacks betreiben und zugleich Regelwerken wie PCI-DSS, SOX, HIPAA, DORA, NERC CIP und FedRAMP unterliegen. Diese verlangen nachweisbare Transparenz über Softwareversionen und eine zeitnahe Schwachstellenbehebung.
Azul-Mitgründer und CEO Scott Sellers wird mit der Einschätzung zitiert, dass das Fachwissen, das früher zwischen Angreifern und dem Software-Stack eines Unternehmens gestanden habe, keine Barriere mehr darstelle. Das Assessment solle Sicherheitsverantwortlichen helfen, bestehende Gefährdungen zu erkennen, bevor sie von autonomen Systemen ausgenutzt werden können.
Laut Azul deckt das Unternehmen geschäftskritische Systeme bei 36 Prozent der Fortune-100-Unternehmen sowie bei der Hälfte der zehn nach Markenwert führenden Forbes-Marken ab.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de