Log4Shell ist aktuell das größte Sicherheitsproblem in der IT, das ist aber nicht Thema dieses Beitrags. Das Thema ist die Geschwindigkeit, mit der die bekanntgewordene Lücke ausgenützt wird bzw. die Zeit, die vergeht, bis einfach mal jemand ausprobiert, ob die Lücke noch offen ist.
John Graham-Cumming, das ist der Chief Technical Officer von Cloudflare (einem der größten Content Delivery- und Web Application Firewall-Unternehmen), hat auf Twitter geschrieben:
The original tweet for #Log4Shell was at 2021-12-09 14:25 UTC. We saw someone test out the vulnerability at 2021-12-09 14:34 UTC.
@jgrahamc
Wir haben also unsere Antwort. Es sind neun Minuten von der Veröffentlichung der Lücke bis zum ersten Versuch, sie auszunützen, vergangen. Neun Minuten. In der Zeit hat der Admin noch nicht einmal seinen Kaffee ausgetrunken.
Niemand kann mir erklären, dass das nicht nach einer automatisierten Updateroutine jeglicher Software schreit und dass dadurch bedingte Ausfälle zugunsten der Abwehr potentieller, durch geglückte Angriffe erfolgter Schäden vorzuziehen sind. Das Umdenken wird schwer, dann so etwas wird sehr häufig als Kontrollverlust wahrgenommen…