Log4Shell: Experten gehen von mehrjähriger Bedrohungslage aus

Cybersicherheitsexperten erwarten, dass es Monate oder gar Jahre dauern wird, um die durch die als Log4Shell bezeichnete kritische Anfälligkeit in der Java-Bibliothek log4j ausgelösten Probleme zu beseitigen. Ihre Einschätzung begründen sie mit der hohen Verbreitung der Logging-Bibliothek sowie der geringen Anforderungen an einen erfolgreichen Angriff auf die Schwachstelle.

Laut Steve Povolny, Head of Advanced Threat Research bei McAfee Enterprise und FireEye, ist Log4Shell mit bekannten Schwachstellen wie Shellshock, Heartbleed und EternalBlue gleichzusetzen. “Die Angreifer begannen nahezu unverzüglich damit, den Fehler für illegales Krypto-Mining auszunutzen oder legitime Computerressourcen im Internet zu nutzen, um Kryptowährung für den eigenen Profit zu generieren. Die weitere Ausnutzung scheint sich auf den Diebstahl privater Informationen zu konzentrieren”, so Povolny gegenüber ZDNet. “Wir erwarten, dass sich die Angriffe weiterentwickeln werden.”

Aufgrund der hohen Zahl der bisher beobachteten Angriffe befürchtet Povolny, dass viele von Log4Shell betroffene Organisationen bereits kompromittiert wurden und Gegenmaßnahmen einleiten müssen. “Wir glauben, dass die log4shell-Exploits noch Monate, wenn nicht sogar Jahre, andauern werden, wobei in den nächsten Tagen und Wochen ein deutlicher Rückgang zu verzeichnen sein wird, da zunehmend Patches bereitgestellt werden.”

Sean Gallagher, Senior Threat Researcher bei Sophos, verweist indes auf aktuelle Daten, die nahelegen sollen, dass Angreifer Log4Shell inzwischen nutzen, um Schlüssel von Amazon-Web-Services-Konten abzugreifen. “Es gibt auch Anzeichen dafür, dass Angreifer versuchen, die Schwachstelle auszunutzen, um Fernzugriffstools in den Netzwerken der Opfer zu installieren, möglicherweise Cobalt Strike, ein Schlüsselwerkzeug für viele Ransomware-Angriffe.”

“Diese Sicherheitslücke ist aus mehreren Gründen beängstigend: Erstens ist sie sehr leicht auszunutzen; der Angreifer muss nur einen speziellen Text in verschiedene Teile einer Anwendung einfügen und auf die Ergebnisse warten. Zweitens ist es schwer zu wissen, was betroffen ist und was nicht; die Sicherheitslücke befindet sich in einer Kernbibliothek, die mit vielen anderen Softwarepaketen gebündelt ist, was die Behebung ebenfalls erschwert. Drittens ist es wahrscheinlich, dass viele Ihrer Drittanbieter betroffen sind”, kommentiert Chris Evans, CISO bei HackerOne, die aktuelle Bedrohungslage.

Log4j ist eine häufig bei Java-Anwendungen eingesetzte Protokollierungsbibliothek. Ein Fehler in der Bibliothek erlaubt es unter Umständen, Schadcode einzuschleusen und auszuführen. Er tritt bei der Verarbeitung bestimmter Zeichenfolgen auf, die ein Hacker beispielsweise in einen HTTP User Agent einbauen kann.