Nach Angaben von Sysdig registrierte das Unternehmen den ersten Ausnutzungsversuch bereits 9 Stunden und 41 Minuten nach der öffentlichen Bekanntgabe der Schwachstelle. Der dahinterstehende, unbekannte Angreifer verband sich mit dem Endpunkt /terminal/ws auf einem Honeypot-System und begann mit einer manuellen Erkundung des Dateisystems.

Wenige Minuten später versuchte der Angreifer gezielt, Daten aus der Datei .env abzugreifen, nach SSH-Schlüsseln zu suchen und verschiedene Dateien auszulesen. Eine Stunde danach kehrte er zum Honeypot zurück, um den Inhalt der .env-Datei einzusehen und zu prüfen, ob in der Zwischenzeit andere Angreifer aktiv gewesen waren. Weitere Schadkomponenten wie Kryptominer oder Backdoors wurden nicht installiert.

Laut Sysdig hatte der Angreifer einen funktionierenden Exploit direkt aus der Beschreibung des Sicherheitshinweises gebaut, sich mit dem unauthentifizierten Terminal-Endpunkt verbunden und anschließend die kompromittierte Umgebung manuell durchsucht. Insgesamt habe er sich innerhalb von 90 Minuten viermal verbunden, mit Pausen zwischen den Sitzungen. Das Cloud-Sicherheitsunternehmen wertet dies als typisches Vorgehen eines menschlichen Operators, der eine Liste von Zielen abarbeitet und zur Bestätigung seiner Funde zurückkehrt.

Sysdig sieht in dem Fall ein Beispiel dafür, wie schnell neu veröffentlichte Schwachstellen heute in Angriffe umgesetzt werden. Angreifer verfolgten Veröffentlichungen offenbar genau und nutzten die Zeitspanne zwischen Bekanntgabe und Einspielen des Patches aus – wodurch das Zeitfenster, das Verteidigern zur Reaktion bleibt, deutlich schrumpft.

Die Annahme, dass es Angreifer nur auf weit verbreitete Plattformen abgesehen hätten, sei falsch, so das Unternehmen. Jede aus dem Internet erreichbare Anwendung mit einem kritischen Sicherheitshinweis sei ein Ziel – unabhängig von ihrer Verbreitung.