Sicherheitsexperten haben einen Weg gefunden, wie sie Remote-Server sehr einfach auf Verletzlichkeiten prüfen können. Sie nahmen ein iPhone und einen Tesla und benannten die Geräte um. Dabei verwendeten sie als neue Namen eine spezielle Exploit-Zeichenkette. Das reichte aus, um einen Ping sowohl von Apples wie von Teslas Servern auszulösen.
Apple- und Tesla-Server ließen sich zum Aufruf einer beliebigen URL zwingen
Das belegten die Experten mit Screenshots, die sie zu Beweiszwecken in sozialen Medien posteten. Die iPhone-Demonstration stammt von einem niederländischen Sicherheitsforscher; die andere wurde in das anonyme Log4jAttackSurface-Github-Repository hochgeladen.
In den Demonstrationen reagierten die Server der beiden Hersteller völlig erwartungsgemäß. Sie riefen anstandslos die in der Zeichenkette integrierte Test-URL auf. Eben das wollten die Forschenden beweisen. Es ist demnach möglich, per Exploitcode beliebige URLs aufrufen zu lassen. Das sollte im Grunde so leicht nicht sein.
Erfolg der Demonstration zunächst kein Beleg für Verwundbarkeit
Daraus aber nun zu schließen, dass Apple und Tesla über die Sicherheitslücke gehackt werden könnten, wäre mindestens voreilig und in dieser Einfachheit jedenfalls ein falscher Schluss. Denn die Nützlichkeit der Möglichkeit, beliebige URLs aufzurufen, ist unklar. Theoretisch könnte ein Angreifer zwar bösartigen Code unter der versteckt eingeschleusten Ziel-URL hosten, um anfällige Server zu infizieren. Das könnte ein gut gewartetes Netzwerk aber auf der Protokollebene unterbinden. Die Annahme, allein das Einschleusen einer URL würden den Angriff realisieren, ginge daher fehl.
Nach wie vor ist nicht vollends klar, wie groß das Ausmaß der Log4j-Lücke ist, die das BSI am Samstag auf die höchste Warnstufe gehoben hatte. Es gibt zwar bereits ein Update, das ist aber nicht so einfach eingespielt. In den meisten Fällen muss zunächst untersucht werden, ob Log4j überhaupt im Einsatz ist, in welcher Version und wo das Update dann greifen könnte. In vielen Fällen dürfte Log4j als reine Abhängigkeit eingebaut sein.
Erste Versuche, Mirai-Bots zu installieren, entdeckt
Forschende gehen daher von Millionen potenziell betroffener Server aus. Besonders gefährdet könnten Geräte sein, die eine Dienstleistung erbringen, die im Grunde wartungsfrei läuft. Beispielsweise berichtet die Digital-Forensik-Plattform Cado, dass sie Server entdeckt hat, die versuchen, die Log4j-Schwachstelle zur Installation von Mirai-Botnet-Code zu nutzen.
Die Kolleginnen und Kollegen von The Verge hatten Exploit-Code per SMS an SMS-Nummern eines Mobilfunk-Providers gesendet und daraufhin automatisierte Antworten von den Servern des Unternehmens erhalten. Die enthielten Informationen über die IP-Adresse und den Hostnamen des Servers, was darauf hindeutet, dass die Server zur Ausführung von bösartigem Code verleitet werden könnten. Das ist aber derzeit noch alles sehr dem Konjunktiv verhaftet.