Die Schwere der Schwachstelle in Log4j ist alles andere als theoretisch. Cyberkriminelle scan Häfen weltweit, um Wege zu finden, sie auszunutzen. Sicherheitsforscher beobachteten Hunderttausende von Angriffen.
In den vergangenen Tagen erkannte Check Point Software 470,000 Versuche dazu scan Unternehmensnetzwerke weltweit. Die scans werden unter anderem durchgeführt, um Server zu finden, die externe HTTP-Anfragen zulassen. Solche Server neigen dazu, die berüchtigte Schwachstelle in der Java-Bibliothek Log4j auszunutzen. Wenn ein Server HTTP-Anforderungen zulässt, kann ein Angreifer den Server mit einer einzelnen Zeile anpingen, die auf einen Remote-Server mit Java-Anweisungen zur Ausführung von Malware verweist. Wenn der gepingte Server mit einer Java-Anwendung verbunden ist, die Log4j verarbeitet, verarbeitet die Java-Anwendung die Zeile als Befehl zum Ausführen der Malware. Am Ende der Zeile führt der Server des Opfers aus, was ein Angreifer befiehlt. Die Sicherheitsorganisation Sophos hat nach eigenen Angaben Hunderttausende von Angriffen identifiziert.
Bekannte Gesichter
Zuvor haben wir einen aufschlussreichen Artikel über die oben erwähnte technische Funktionsweise der Schwachstelle in Log4j geschrieben. Die wichtigste Voraussetzung für Missbrauch ist die Möglichkeit, Java-Anwendungen zu erreichen, die Log4j enthalten. In manchen Fällen ist dies ein Kinderspiel. Beispielsweise verwendete Apple iCloud Log4j, um die Namen von iPhones aufzuzeichnen. Durch die Änderung des Modellnamens eines iPhones in iOS in eine Anweisung für Java stellte sich heraus, dass es möglich war, Apples Server zu knacken.
In anderen Fällen sind Anwendungen weniger leicht zu beeinflussen. Die größte Bedrohung geht von Angreifern mit Erfahrung, Wissen und vorhandenen Techniken aus. Sicherheitsforscher von Netlab360 haben zwei Ködersysteme (Honeypots, Anm. d. Red.) eingerichtet, um Angriffe auf Java-Anwendungen mit Log4j einzuladen. Damit lockten die Forscher neun neue Varianten bekannter Malware-Typen, darunter MIRAI und Muhstik. Die Malware-Stämme sind darauf ausgelegt, Log4j zu missbrauchen. Ein häufiges Angriffsziel ist die Verstärkung von Botnets für Krypto-Mining und DDoS-Angriffe. Check Point Software führte eine ähnliche Umfrage in größerem Umfang durch. In den vergangenen Tagen registrierte die Sicherheitsorganisation 846,000 Angriffe.
Militär
Es ist offensichtlich, dass Cyberkriminelle verwundbare Versionen von Log4j suchen und ausnutzen. Die sinnvollste Verteidigung ist und bleibt die Inventarisierung aller Log4j-Anwendungen in einer Umgebung. Wenn der Anbieter der Anwendung, in der Log4j verwendet wird, eine aktualisierte Version veröffentlicht hat, wird ein Patch empfohlen. Wenn nicht, ist die Deaktivierung die sicherste Option. Das NCSC behält einen Überblick über die Schwachstellen von Software, in der Log4j verarbeitet wird.
Es ist derzeit alles andere als ratsam, eigene Softwaremaßnahmen zu entwickeln oder den Betrieb von Log4j anzupassen. Die Schwachstelle weist Variationen auf. Microsoft entdeckte unter anderem mehrere Varianten der Regel, die verwendet wird, um Java-Anwendungen anzuweisen, Malware auszuführen. Check Point spricht von mehr als 60 Mutationen.