Die Version 2.15 von Log4j, welche die Apache-Foundation am letzten Freitag veröffentlicht hatte, um die Security-Schwachstelle Log4Shell (CVE-2021-44228) zu beheben, war offenbar noch nicht komplett sicher. Deshalb hat die Foundation nun eine weitere Version veröffentlicht, 2.16, welche das Problem ganz beheben soll. In 2.16 ist die problematische JNDI-Schnittstelle (Java Naming and Directory Interface) ganz deaktiviert.

In 2.15 war dies noch nicht komplett der Fall. In dieser Version war erst die Lookup-Funktion von JNDI deaktiviert worden. Dies hat die Hauptursache für das Security-Problem behoben und dürfte die meisten Anwender schützen. Allerdings haben Security-Forscher herausgefunden, dass Angreifer auch die Version 2.15 hätten knacken können, wenn die Anwender spezielle Nicht-Standard-Konfigurationen gewählt hätten.

Dieses Log4Shell-"Restproblem" hat eine eigene CVE-Nummer erhalten (CVE-2021-45046)

Laut einer Vielzahl von Security-Forschern ist die Zahl der Scans, mit denen Hacker nach über das Internet erreichbaren, verwundbaren Systeme suchen, in den Tagen seit die Log4j-Schwachstelle bekannt wurde, rasant gestiegen. Auch die Zahl der konkreten Angriffsversuche hat stark zugenommen. Gemäss Zahlen von Check Point sind in Europa bereits knapp 50% (Schweiz 40%) aller Unternehmensnetzwerke angegriffen worden. Dabei würden die Angreifer bereits über 60 Varianten des ursprünglichen Exploits verwenden, so der Anbieter von Security-Software.

Laut verschiedenen Berichten, die 'ZDnet' zusammengetragen hat, versucht ‒ wie zu erwarten war ‒ mittlerweile auch eine Reihe von Ransomware-Gruppierungen Log4Shell ausnützen, um in Unternehmensnetzwerke einzudringen. Laut Bitdefender beispielsweise wird die relative neue und relativ simpel gestrickte Ransomware "Khonsari" nun so verbreitet.

Offenbar gibt es aber auch technisch raffiniertere, teilweise staatlich unterstütze Ransomware-Gruppen, die auf den Log4Shell-Zug aufgesprungen sind. Microsoft sagt, dass nun die bei gezielt vorangehenden Ransomware-Banden beliebte Hintertür "Cobaltstrike" auch via Log4Shell installiert wird. Gemäss Sekoia versucht wahrscheinlich auch die Lockbit-Bande Log4Shell auszunützen, und Crowdstrike sagt, dass man die im Iran stationierte Gruppierung Nemesis Kitten bei entsprechenden Aktivitäten beobachtet habe.