Säkerhetsforskare som undersöker det nyligen upptäckta och “extremt dåliga” Log4Shell-exploatet hävdar att de har använt det på så olika enheter som iPhones och Tesla-bilar. Per skärmdumpar som delas online räckte det att ändra enhetsnamnet på en iPhone eller Tesla till en speciell exploateringssträng för att utlösa en ping från Apple- eller Tesla-servrar, vilket indikerar att servern i andra änden var sårbar för Log4Shell.
I demonstrationerna bytte forskare enhetsnamnen till en sträng av tecken som skulle skicka servrar till en test-URL, och utnyttja beteendet som möjliggörs av sårbarheten. Efter namnändringen visade inkommande trafik URL-förfrågningar från IP-adresser som tillhör Apple och, i Teslas fall, China Unicom – företagets mobiltjänstpartner för den kinesiska marknaden. Kort sagt, forskarna lurade Apple och Teslas servrar att besöka en webbadress som de valde.
:no_upscale()x/cdnload.com/cdnvo.com /chorus_asset/file/23085291/log4shell1.jpeg)
En iPhone-enhetsinformationsskärm med namn ändrat för att innehålla exploateringssträngen. Bild: Cas van Cooten/Twitter IPhone-demonstrationen kom från en holländsk säkerhetsforskare; den andra laddades upp till det anonyma Log4jAttackSurface Github-förrådet.
Förutsatt att bilderna är äkta visar de beteende – fjärrladdning av resurser – som inte borde vara möjligt med text som finns i ett enhetsnamn. Detta proof of concept har lett till omfattande rapporter om att Apple och Tesla är sårbara för utnyttjandet.
Även om demonstrationen är alarmerande är det inte klart hur användbart det skulle vara för cyberbrottslingar. I teorin kan en angripare vara värd för skadlig kod på måladressen för att infektera sårbara servrar, men ett välskött nätverk kan förhindra en sådan attack på nätverksnivå. Mer allmänt finns det inget som tyder på att metoden skulle kunna leda till någon bredare kompromiss av Apples eller Teslas system. (Inget av företagen svarade på en e-postbegäran om kommentar vid tidpunkten för publicering.)
Log4Shell är desto allvarligare eftersom det är relativt lätt att utnyttja
Ändå är det en påminnelse om den komplexa karaktären hos tekniska system, som nästan alltid är beroende av kod som hämtas från tredje parts bibliotek. Log4Shell-exploateringen påverkar ett Java-verktyg med öppen källkod som heter log4j som används ofta för applikationshändelseloggning; även om det fortfarande inte är känt exakt hur många enheter som påverkas, men forskare uppskattar att det rör sig om miljontals, inklusive obskyra system som sällan är föremål för attacker av den här typen.
Den fullständiga omfattningen av exploatering i det vilda är okänd, men i ett blogginlägg rapporterade den digitala kriminaltekniska plattformen Cado att den upptäckte servrar som försöker använda den här metoden för att installera Mirai botnet-kod.
Log4Shell är allt desto allvarligare för att vara relativt lätt att utnyttja. Sårbarheten fungerar genom att lura applikationen att tolka en textbit som en länk till en fjärrresurs, och försöka hämta den resursen istället för att spara texten som den är skriven. Allt som behövs är att en sårbar enhet sparar den speciella teckensträngen i sina programloggar.
Detta skapar risk för sårbarhet i många system som accepterar användarinput, eftersom meddelandetext kan lagras i loggarna. Log4j-sårbarheten upptäcktes först i Minecraft-servrar, som angripare kunde äventyra genom att använda chattmeddelanden; och system som skickar och tar emot andra meddelandeformat som SMS är helt klart också känsliga.
Minst en stor SMS-leverantör verkar vara sårbar för utnyttjandet, enligt tester utförda av The Verge. När de skickades till nummer som drivs av SMS-leverantören utlöste textmeddelanden som innehöll exploateringskod ett svar från företagets servrar som avslöjade information om IP-adressen och värdnamnet, vilket tyder på att servrarna kunde luras att exekvera skadlig kod. Samtal och e-postmeddelanden till det berörda företaget hade inte besvarats vid tidpunkten för publiceringen.
En uppdatering av log4j-biblioteket har släppts för att mildra sårbarheten, men patchning av alla sårbara maskiner kommer att ta tid med tanke på utmaningarna med att uppdatera företagsprogramvara i stor skala.