Sicherheitsforscher, die den kürzlich entdeckten und „extrem schlechten“ Log4Shell-Exploit untersuchen, behaupten, ihn auf so unterschiedlichen Geräten wie iPhones und Tesla-Autos eingesetzt zu haben. Laut online geteilten Screenshots reichte es aus, den Gerätenamen eines iPhone oder Tesla in einen speziellen Exploit-String zu ändern, um einen Ping von Apple- oder Tesla-Servern auszulösen, der darauf hinweist, dass der Server am anderen Ende für Log4Shell anfällig war.
In den Demonstrationen änderten die Forscher die Gerätenamen in eine Zeichenfolge, die Server an eine Test-URL senden würde, und nutzten das durch die Sicherheitsanfälligkeit ermöglichte Verhalten aus. Nach der Namensänderung zeigte der eingehende Datenverkehr URL-Anfragen von IP-Adressen von Apple und im Fall von Tesla China Unicom – dem mobilen Servicepartner des Unternehmens für den chinesischen Markt. Kurz gesagt, die Forscher haben Apple- und Tesla-Server dazu gebracht, eine URL ihrer Wahl zu besuchen.
:no_upscale()/cdn.vox-cdn.com/up /chorus_asset/file/23085291/log4shell1.jpeg "Forscher lösen neuen Exploit aus, indem sie ein iPhone und einen Tesla umbenennen")
Ein Bildschirm mit iPhone-Geräteinformationen, dessen Name geändert wurde, um den Exploit-String zu enthalten. Bild: Cas van Cooten/Twitter Die iPhone-Demonstration kam von einem niederländischen Sicherheitsforscher; der andere wurde in das anonyme Log4jAttackSurface Github-Repository hochgeladen.
Vorausgesetzt, die Bilder sind echt, zeigen sie ein Verhalten – das Laden von Ressourcen aus der Ferne –, das mit Text, der in einem Gerätenamen enthalten ist, nicht möglich sein sollte. Dieser Proof of Concept hat zu weit verbreiteten Berichten geführt, dass Apple und Tesla anfällig für den Exploit sind.
Obwohl die Demonstration alarmierend ist, ist nicht klar, wie nützlich sie für Cyberkriminelle wäre. Theoretisch könnte ein Angreifer bösartigen Code auf der Ziel-URL hosten, um verwundbare Server zu infizieren, aber ein gut gewartetes Netzwerk könnte einen solchen Angriff auf Netzwerkebene verhindern. Im Allgemeinen gibt es keinen Hinweis darauf, dass die Methode zu einer umfassenderen Kompromittierung der Systeme von Apple oder Tesla führen könnte. (Keines der Unternehmen hat bis zum Zeitpunkt der Veröffentlichung auf eine E-Mail-Anfrage nach Kommentaren geantwortet.)
Log4Shell ist umso schwerwiegender, da es relativ leicht auszunutzen ist
Dennoch erinnert es an die Komplexität technologischer Systeme, die fast immer von Code abhängen, der aus Bibliotheken von Drittanbietern stammt. Der Log4Shell-Exploit betrifft ein Open-Source-Java-Tool namens log4j, das häufig für die Protokollierung von Anwendungsereignissen verwendet wird. Obwohl noch nicht genau bekannt ist, wie viele Geräte betroffen sind, schätzen Forscher, dass es sich um Millionen handelt, einschließlich obskurer Systeme, die selten von Angriffen dieser Art angegriffen werden.
Das volle Ausmaß der Ausbeutung in freier Wildbahn ist unbekannt, aber in einem Blogbeitrag berichtete die digitale Forensik-Plattform Cado, dass Server entdeckt wurden, die versuchten, diese Methode zur Installation des Mirai-Botnet-Codes zu verwenden.
Log4Shell ist alles desto schwerwiegender ist es, dass es relativ leicht auszunutzen ist. Die Sicherheitsanfälligkeit funktioniert, indem die Anwendung dazu verleitet wird, einen Textabschnitt als Link zu einer Remote-Ressource zu interpretieren und zu versuchen, diese Ressource abzurufen, anstatt den geschriebenen Text zu speichern. Ein anfälliges Gerät muss lediglich die spezielle Zeichenfolge in seinen Anwendungsprotokollen speichern.
Dies schafft in vielen Systemen, die Benutzereingaben akzeptieren, das Potenzial für Sicherheitslücken, da Nachrichtentexte in den Protokollen gespeichert werden können. Die log4j-Schwachstelle wurde erstmals auf Minecraft-Servern entdeckt, die Angreifer über Chat-Nachrichten kompromittieren könnten; und Systeme, die andere Nachrichtenformate wie SMS senden und empfangen, sind eindeutig ebenfalls anfällig.
Nach Tests von The Verge scheint mindestens ein großer SMS-Anbieter anfällig für den Exploit zu sein. Beim Versand an Nummern des SMS-Anbieters lösten Textnachrichten mit Exploit-Code eine Antwort von den Servern des Unternehmens aus, die Informationen über die IP-Adresse und den Hostnamen enthüllte, was darauf hindeutet, dass die Server zur Ausführung von Schadcode verleitet werden könnten. Anrufe und E-Mails an das betroffene Unternehmen wurden zum Zeitpunkt der Veröffentlichung nicht beantwortet.
Ein Update der log4j-Bibliothek wurde veröffentlicht, um die Sicherheitsanfälligkeit zu beheben, aber das Patchen aller anfälligen Maschinen wird Nehmen Sie sich Zeit angesichts der Herausforderungen, Unternehmenssoftware in großem Umfang zu aktualisieren.