Noch blieb das große Log4Shell-Beben aus – ein forensischer Status-Befund

„Auch wenn die befürchtete, massenhafte Ausnutzung der Log4Shell-Schwachstelle bisher noch nicht stattgefunden hat, wird der Bug noch jahrelang ein Ziel für Angriffe sein“, Chester Wisniewski, Principal Research Scientist bei Sophos.

Die Experten-Teams von Sophos haben die Ereignisse rund um die Log4Shell-Schwachstelle seit der Entdeckung im Dezember 2021 forensisch analysiert und eine erste Bilanz gezogen – inklusive einer Zukunftsprognose von Principal Research Scientist Chester Wisniewski sowie verschiedenen Grafiken, die die Ausnutzung der Schwachstelle zeigen. Das Resümee: Die große Krise aufgrund massenhafter Ausnutzung durch Cyberkriminelle blieb bisher aus, obwohl eine solche branchenweit befürchtet wurde. Allerdings bedeutet das Ausbleiben der erwarteten und verheerenden Auswirkungen keine Entwarnung. Denn der Log4Shell-Bug, der tief in vielen digitalen Anwendungen und Produkten verborgen ist, kann voraussichtlich noch jahrelang ein Ziel der Cyberkriminellen sein.

Die Sophos-Expert:innen sind der Meinung, dass die unmittelbaren und massenhaften Angriffe auf die Log4Shell-Lücke vor allem durch aktives Handeln aller Beteiligten bisher erfolgreich eingedämmt werden konnten. Die Tragweite der Schwachstelle hat die Digital- und Sicherheits-Community erfolgreich vereint. Ein gemeinschaftliches Vorgehen ist nicht neu, bereits im Jahr 2000 beim Y2K-Bug war dies der Fall, und es scheint auch hier einen großen Unterschied gemacht zu haben. Im Augenblick, als die Details der Log4j-Sicherheitslücke bekannt wurden, haben die weltweit größten und wichtigsten Cloud-Dienste, Softwareanbieter und Unternehmen Maßnahmen ergriffen, um sich von dem Eisberg fernzuhalten und eine Katastrophe zu verhindern. Möglich war dies auch durch die gemeinschaftliche Intelligenz und praktischen Anleitungen der Security-Gemeinschaft.

Begrenzte Massenausbreitung

Das Sophos Managed Threat Response Team (MTR) stellte fest, dass zwar viele Scans und Versuche, den Log4Shell-Exploit auszunutzen, entdeckt wurden, jedoch bis Anfang Januar 2022 nur wenige MTR-Kunden konkret mit Einbruchsversuchen via Log4j konfrontiert waren. Eine Erklärung dafür könnte die Notwendigkeit sein, dass der Angriff an jede Anwendung, die den anfälligen Apache Log4J-Code enthält, angepasst werden muss.

Daher werden die weit verbreiteten Anwendungen, die die Schwachstelle enthalten, in größerem Umfang auf automatisierte Weise ausgenutzt als andere. Ein Beispiel dafür ist VMware Horizon – hier fand der erste von Sophos MTR beobachtete Einbruch über die Log4Shell-Lücke statt.

Deutliche Verschiebungen in der Geo-Telemetrie

Die Sophos-Geo-Telemetrie seit der Entdeckung der Schwachstelle bis in die ersten beiden Januarwochen 2022 zeigt interessante Variationen bei den Quellen der Angriffsversuche und Scans. Die Karte im Dezember 2021 macht deutlich, dass Regionen wie die USA, Russland, China, Westeuropa und Lateinamerika stärker betroffen sind. Die starke Gewichtung der USA und Deutschlands in den geografischen IP-Quelldaten spiegelt wahrscheinlich die großen Rechenzentren wider, die dort angesiedelt sind, wie beispielsweise von Amazon, Microsoft und Google.

Dieses Lagebild und die Anzahl der erkannten Vorfälle ändern sich Anfang 2022 dramatisch. Der auffälligste Unterschied ist, dass die anfängliche Dominanz Russlands und Chinas im Januar abgenommen zu haben scheint. Nach Erkenntnissen von Sophos spiegelt dies einen offensichtlichen Rückgang der Angriffsversuche durch eine kleine Anzahl hochaggressiver Kryptoanalysten in diesen Regionen wider.

Fazit:

Die Experten-Teams von Sophos sind der Ansicht, dass Versuche, die Log4Shell-Schwachstelle auszunutzen, wahrscheinlich noch jahrelang andauern werden und ein beliebtes Ziel für Penetrationstester und für Nationalstaaten sowie deren Bedrohungsakteuren sein werden. Die Dringlichkeit, herauszufinden, wo die Schwachstelle eventuell im eigenen Netzwerk auftritt, und das Patchen entsprechender Anwendungen bleibt deshalb wichtigstes Ziel.

Der komplette englische Bericht mit weiteren Ergebnissen und grafischen Darstellungen steht hier zum Download bereit.

Zusätzliche Informationsquellen zu Log4Shell

Zudem hat Sophos seit der Entdeckung eine Reihe von weiteren Artikeln zu Log4Shell und zur Reaktion auf die Bedrohung veröffentlicht:

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel