Es ist nun rund einen Monat her, seit Log4shell, eine schwerwiegende Sicherheitslücke in der Java Library Log4j,
bekannt wurde. Wie Jen Easterly, die Chefin der US-Cybersecurity-Behörde CISA (Cybersecurity and Infrastructure Security Agency) nun in einer virtuellen Pressekonferenz bekannt gab, hat es zumindest in den USA bisher keine schwerwiegenden Sicherheitsvorfälle gegeben, bei denen Angreifer diese Lücke ausgenutzt haben.
Das tönt angesichts der vielen Warnungen an Unternehmen, dass sie diese Sicherheitslücke in ihren Netzwerken unbedingt so schnell wie möglich aufspüren und beheben müssen, etwas antiklimaktisch. Allerdings leitete Easterly mit dieser "Entwarnung" eine weitere dringliche Warnung ein. Die CISA-Chefin betrachtet Log4Shell als eine der schlimmsten Gefahren, denen sie in ihrer Karriere begegnet ist. Dies unter anderem, weil Angreifer sie so einfach ausnützen können. Schon 12 Zeichen, die an ein verwundbares System geschickt werden, reichen aus, um es zu knacken.
Man sei weiterhin beunruhigt wegen der Möglichkeit, so Easterly, dass Log4Shell für Angriffe auf Betreiber von kritischer Infrastruktur ausgenützt werden könnte. Aufgrund der Schwierigkeiten, welche viele Unternehmen und Behörden haben, alle in ihren Systemen vorhandenen Log4J-Instanzen aufzuspüren und zu patchen, sei auch damit zu rechnen, dass Log4Shell-basierte Angriffe noch lange Zeit zu erfolgreichen Einbrüchen führen werden.
Darüber, warum noch keine schwerwiegenden Fälle bekannt geworden sind, kann man nur spekulieren. Eine beunruhigende Möglichkeit ist beispielsweise, dass technisch versierte oder Staaten nahestehenden Hackergruppen die Lücke bereits ausgenützt haben, um sich in viele Systeme einzunisten. Nun könnten sie es aber bevorzugen, sich möglichst still zu verhalten und beispielsweise auf Ransomware-Attacken zu verzichten, um kompromittierte Netzwerke gründlich und ohne aufzufallen, ausspionieren zu können. Wenn Hacker einmal im System sind, nützt es nichts mehr, die Schwachstelle zu patchen. In einem solchen Fall müssten die Betroffenen alle eingepflanzten Hintertüren finden und beseitigen.
Angriffswelle
An der Anzahl der Angriffsversuche kann es in jedem Fall nicht liegen, dass erst wenige Sicherheitsvorfälle bekannt geworden sind. Check Point meldet beispielsweise in seiner Jahres-Angriffs-Statistik für 2021, dass die durchschnittliche Zahl der Attacken auf ein Unternehmensnetzwerk im vergangenen Jahr im Vergleich zum Vorjahr um 50% gestiegen sei. Trotz dieser sowieso schon sehr hohen Grundaktivität haben laut Check Point Angriffe auf Log4J im Dezember zu einer weiteren spürbaren Spitze bei der Zahl der Angriffe geführt.
Microsoft warnt, dass seit einigen Tagen vermehrt Angriffsversuche auf VMware-Horizon-Systeme, welche verwundbare Log4J-Versionen benutzen, registriert wurden. Laut Microsoft versuchen die Angreifer dabei "NightSky" zu installieren, eine erst am 27. Dezember bekannt gewordene neue Ransomware-Variante.