Über das gesamte Akamai-Netzwerk hinweg registriert Akamai einen Traffic von 1,3 Milliarden einzelner Geräte täglich – mit einem rekord-verdächtigen Volumen in Höhe von 182 Terabytes. Das Threat Research Team hat einen genaueren Blick auf diesen Traffic geworfen, um genauere Erkenntnisse darüber zu gewinnen, wie genau die Log4j-Schwachstelle ausgenutzt wird.
Im Zuge der kontinuierlichen Forschungsarbeit zu CVE-2021-44228 hat Akamai die Einblicke und ihre Implikationen zusammengefasst:
Es ist zu erwarten, dass diese Schwachstelle eine lange Angriffsdauer haben wird. Aufgrund der weiten Verbreitung dieser Software und der großen Anzahl von Exploit-Variationen wird es noch monatelang weitere Exploit-Versuche geben und voraussichtlich viele weitere Sicherheitslücken aufgedeckt werden. Akamai empfiehlt weiterhin, die betroffenen Systeme schnellstmöglich zu patchen, um künftige Angriffsversuche abzuschwächen.
Angreifer nutzen noch häufig opportunistisch jeden bekannten Angriffspunkt, werden aber treffsicherer. Wie bei den Exploit-Mutationen avisieren die Angreifer jeden Injection Spot, den sie finden konnten. Dabei beginnen sie mit den offensichtlichsten opportunistischen Spots wie dem User Agent, wenden sich dann aber organisationsspezifischen Parametern zu.
Das zu wissen ist sehr nützlich für die Abwehr, um mit den Angreifern Schritt halten zu können. Die Folgen werden erst nach Monaten vollständig bekannt sein. Bei der überwiegenden Mehrheit der beobachteten Aktivitäten handelte es sich noch um taktische Testaktivitäten, während der Anteil der tatsächlichen Angriffe relativ gering war.
Aber obwohl die Angriffe durch Patches und andere Methoden entschärft werden können, ist unklar, wie viele Sicherheitsverletzungen in diesem Zeitraum stattgefunden haben. Es damit zu rechnen, dass es einige Zeit dauern wird, bis die Verstöße ans Tageslicht kommen und wir ihr Ausmaß einschätzen können.
Nach einem moderaten Start ist ein weltweiter Tsunami an kriminellen Aktivitäten zu erwarten. Es ist zu erkennen, dass die Angreifer bislang noch etwas Zeit brauchten, um entsprechend aufzurüsten und die Angriffe vorzubereiten. In der nächsten Phase sind dann Angriffswellen in schneller Frequenz zu erwarten.
Das deckt sich mit auch der in der Vergangenheit regelmäßigen Beobachtung, dass die Identifizierung von mehr Angriffsvektoren und Exploit-Varianten generell das Aufkommen bösartiger Aktivitäten drastisch erhöht. Wie bei anderen Zero-Day-Lücken lernt der Gegner schnell, adaptiert die Nutzung des Exploits und erweitert seine Angriffsmethoden.
Anhand tieferer Datenanalysen kann Akamai feststellen, dass rund 57 Prozent der Angriffs-Infrastruktur im Zusammenhang mit Log4j Exploit Nutzung bereits vorher von anderen Vorfällen bekannt war. Im Wesentlichen stammte die Angriffswelle von Angreifern, die bereits vorher aktiv waren und als bösartig eingestuft wurden und jetzt die Gelegenheit nutzen, allerdings waren auch neue Akteure zu verzeichnen.
Die Angriffe erfolgten weltweit. Viele davon hatten ihren Ursprung in den USA, Singapur, Deutschland und Brasilien, aber insgesamt war das Feld breit abgesteckt. Einige der Angriffe gingen auch von Servern aus, die von beliebten Cloud-Anbietern wie AWS und DigitalOcean gehostet wurden.
Die Herkunftsregionen der angreifenden IPs ändert sich ständig. Am 15. Dezember zeigte sich, dass Kanada, die Russische Föderation, überraschenderweise Luxemburg und das Vereinigte Königreich die Länder waren, von denen aus die meisten Log4j-Angriffe zu verzeichnen waren.
Handelsplattformen waren im Zentrum der Angriffe, gefolgt von High Tech, Produktion und der Finanzbranche. Akamai konnte nachweisen, dass innerhalb einer Stunde mehr als die Hälfte der Akamai-Kunden im Bereich Anwendungssicherheit Angriffen ausgesetzt waren. Die USA wurden fünf Mal so häufig angegriffen wie das zweitplatzierte Großbritannien. Dabei gab es einmal mehr eine große Gruppe von Ländern mit ähnlichen Angriffszielen.
Neben der besonderen Bedeutung der Schwachstelle wurde eine bislang einmalige Evolution von Exploit-Mutationen registriert. Immer mehr Angreifer platzieren ihre Exploit-Payloads an verschiedenen Stellen. Die gebräuchlichsten waren Query String Arguments, der User-Agent Header, sowie der Request Path – mit der Annahme, dass Web Server und Anwendungen „Access“-Informationen wie Method, Request Path und User-Agent beinhalten.
Die Payload-Analyse zeigt den Einsatz von Blindaufklärung, Malware und post-Exploitation Tools. Die meisten der Angreifer nutzen die so genannte Blindaufklärungs-Methode. Hier werden mithilfe populärer Online Services wie Burpcollaborator externe Service-Interaktionen aufgespürt. Da bestimmte Schwachstellen keine direkte Antwort geben, die den erfolgreichen Hack bestätigen würde, besteht die Alternative im Versuch, Code auszuführen, um damit über den angegriffenen Server einen solchen externen Server zu kontaktieren.
Wenn der externe Server einen so genannten „Beacon” vom Zielserver empfängt, bedeutet das: Dieser Server hat den Code des Angreifers erfolgreich ausgeführt. Anstatt einen solchen Server zu konfigurieren und zu betreiben, nutzen die meisten Hacker hierfür die meistverbreiteten Online Setups. Über diese Blindaufklärungs-Beacons versuchen viele Angreifer häufig bereits, an Informationen zu kommen wie den Hostnamen, Umgebungsdaten wie java:os, java:vm oder env:user — und extrahieren sogar AWS-Schlüssel zur Übernahme des AWS Accounts.
Unter allen registrierten Angriffen stellte hingegen Ransomware nur einen geringen Anteil dar.