Erste Log4j-Attacker versuchen, Mirai-Botnet zu installieren. (Illustration: Shutterstock)
Sicherheitsexperten haben einen Weg gefunden, wie sie Remote-Server sehr einfach auf Verletzlichkeiten prüfen können. Sie nahmen ein iPhone und einen Tesla und benannten die Geräte um. Dabei verwendeten sie als neue Namen eine spezielle Exploit-Zeichenkette. Das reichte aus, um einen Ping sowohl von Apples wie von Teslas Servern auszulösen.
Apple- und Tesla-Server ließen sich zum Aufruf einer beliebigen URL zwingen
Das belegten die Experten mit Screenshots, die sie zu Beweiszwecken in sozialen Medien posteten. Die iPhone-Demonstration stammt von einem niederländischen Sicherheitsforscher; die andere wurde in das anonyme Log4jAttackSurface-Github-Repository hochgeladen.
In den Demonstrationen reagierten die Server der beiden Hersteller völlig erwartungsgemäß. Sie riefen anstandslos die in der Zeichenkette integrierte Test-URL auf. Eben das wollten die Forschenden beweisen. Es ist demnach möglich, per Exploitcode beliebige URLs aufrufen zu lassen. Das sollte im Grunde so leicht nicht sein.
Erfolg der Demonstration zunächst kein Beleg für Verwundbarkeit
Daraus aber nun zu schließen, dass Apple und Tesla über die Sicherheitslücke gehackt werden könnten, wäre mindestens voreilig und in dieser Einfachheit jedenfalls ein falscher Schluss. Denn die Nützlichkeit der Möglichkeit, beliebige URLs aufzurufen, ist unklar. Theoretisch könnte ein Angreifer zwar bösartigen Code unter der versteckt eingeschleusten Ziel-URL hosten, um anfällige Server zu infizieren. Das könnte ein gut gewartetes Netzwerk aber auf der Protokollebene unterbinden. Die Annahme, allein das Einschleusen einer URL würden den Angriff realisieren, ginge daher fehl.
Nach wie vor ist nicht vollends klar, wie groß das Ausmaß der Log4j-Lücke ist, die das BSI am Samstag auf die höchste Warnstufe gehoben hatte. Es gibt zwar bereits ein Update, das ist aber nicht so einfach eingespielt. In den meisten Fällen muss zunächst untersucht werden, ob Log4j überhaupt im Einsatz ist, in welcher Version und wo das Update dann greifen könnte. In vielen Fällen dürfte Log4j als reine Abhängigkeit eingebaut sein.
Erste Versuche, Mirai-Bots zu installieren, entdeckt
Forschende gehen daher von Millionen potenziell betroffener Server aus. Besonders gefährdet könnten Geräte sein, die eine Dienstleistung erbringen, die im Grunde wartungsfrei läuft. Beispielsweise berichtet die Digital-Forensik-Plattform Cado, dass sie Server entdeckt hat, die versuchen, die Log4j-Schwachstelle zur Installation von Mirai-Botnet-Code zu nutzen.
Die Kolleginnen und Kollegen von The Verge hatten Exploit-Code per SMS an SMS-Nummern eines Mobilfunk-Providers gesendet und daraufhin automatisierte Antworten von den Servern des Unternehmens erhalten. Die enthielten Informationen über die IP-Adresse und den Hostnamen des Servers, was darauf hindeutet, dass die Server zur Ausführung von bösartigem Code verleitet werden könnten. Das ist aber derzeit noch alles sehr dem Konjunktiv verhaftet.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team