Sikkerhedsforskere, der undersøger den nyligt opdagede og “ekstremt dårlige” Log4Shell-udnyttelse hævder at have brugt den på enheder så forskellige som iPhones og Tesla-biler. Per skærmbilleder, der blev delt online, var det nok at ændre enhedsnavnet på en iPhone eller Tesla til en speciel udnyttelsesstreng til at udløse et ping fra Apple- eller Tesla-servere, hvilket indikerer, at serveren i den anden ende var sårbar over for Log4Shell.
I demonstrationerne ændrede forskerne enhedsnavnene til en streng af tegn, der ville sende servere til en test-URL, der udnyttede den adfærd, som sårbarheden muliggjorde. Efter navnet blev ændret, viste indgående trafik URL-anmodninger fra IP-adresser tilhørende Apple og, i Teslas tilfælde, China Unicom – virksomhedens mobilservicepartner for det kinesiske marked. Kort sagt narrede forskerne Apple- og Tesla-servere til at besøge en URL efter eget valg.
:no_upscale()xupscale/cdnvo.com/cdn. /chorus_asset/file/23085291/log4shell1.jpeg "Forskere udløser ny udnyttelse ved at omdøbe en iPhone og en Tesla")
En iPhone-enhedsinformationsskærm med navn ændret til at indeholde udnyttelsesstrengen. Billede: Cas van Cooten/Twitter IPhone-demonstrationen kom fra en hollandsk sikkerhedsforsker; den anden blev uploadet til det anonyme Log4jAttackSurface Github-lager.
Forudsat at billederne er ægte, viser de adfærd – fjernindlæsning af ressourcer – som ikke burde være mulig med tekst indeholdt i et enhedsnavn. Dette proof of concept har ført til udbredt rapportering om, at Apple og Tesla er sårbare over for udnyttelsen.
Selvom demonstrationen er alarmerende, er det ikke klart, hvor nyttigt det ville være for cyberkriminelle. I teorien kunne en angriber hoste ondsindet kode på mål-URL'en for at inficere sårbare servere, men et velholdt netværk kunne forhindre et sådant angreb på netværksniveau. Mere generelt er der intet, der tyder på, at metoden kan føre til et bredere kompromis af Apple eller Teslas systemer. (Ingen af selskaberne svarede på en e-mailanmodning om kommentarer på tidspunktet for offentliggørelsen.)
Log4Shell er så meget desto mere seriøs, fordi den er relativt nem at udnytte
Alligevel er det en påmindelse om den komplekse karakter af teknologiske systemer, som næsten altid afhænger af kode hentet fra tredjepartsbiblioteker. Log4Shell-udnyttelsen påvirker et open source Java-værktøj kaldet log4j, som er meget udbredt til applikationshændelseslogning; selvom det stadig ikke vides præcist, hvor mange enheder der er berørt, men forskere vurderer, at det er i millioner, inklusive obskure systemer, der sjældent er målrettet mod angreb af denne art.
Det fulde omfang af udnyttelse i naturen er ukendt, men i et blogindlæg rapporterede den digitale retsmedicinske platform Cado, at den opdagede servere, der forsøgte at bruge denne metode til at installere Mirai botnet-kode.
Log4Shell er alt den mere alvorlige for at være relativt nem at udnytte. Sårbarheden virker ved at narre applikationen til at fortolke et stykke tekst som et link til en ekstern ressource og forsøge at hente den ressource i stedet for at gemme teksten, som den er skrevet. Det eneste, der er nødvendigt, er, at en sårbar enhed gemmer den særlige streng af tegn i sine applikationslogfiler.
Dette skaber potentiale for sårbarhed i mange systemer, der accepterer brugerinput, da beskedtekst kan gemmes i loggene. log4j-sårbarheden blev først opdaget i Minecraft-servere, som angribere kunne kompromittere ved hjælp af chatbeskeder; og systemer, der sender og modtager andre meddelelsesformater som SMS tydeligvis, er også modtagelige.
Mindst én større SMS-udbyder ser ud til at være sårbar over for udnyttelsen, ifølge test udført af The Verge. Når de blev sendt til numre drevet af SMS-udbyderen, udløste tekstbeskeder, der indeholdt udnyttelseskode, et svar fra virksomhedens servere, der afslørede oplysninger om IP-adressen og værtsnavnet, hvilket tyder på, at serverne kunne blive snydt til at udføre ondsindet kode. Opkald og e-mails til den berørte virksomhed var ikke blevet besvaret på tidspunktet for offentliggørelsen.
En opdatering til log4j-biblioteket er blevet frigivet for at afbøde sårbarheden, men patchning af alle sårbare maskiner vil tage tid i betragtning af udfordringerne ved at opdatere virksomhedssoftware i stor skala.