Перейменування iPhone і Tesla змусило сервери виробників перейти на шкідливий сайт

Дослідники в галузі інформаційної безпеки знайшли незвичайний спосіб використання виявленої нещодавно вразливості в широко використовуваній бібліотеці Log4j, повідомляє The Verge. Виявилося, що для цього можна перейменувати iPhone або автомобіль Tesla, вставивши в назву домен (в який можна вставити шкідливий скрипт), після чого сервери компаній-виробників перейдуть на них.

Log4j - це відкрита бібліотека для ведення логів, часто застосовувана на веб-серверах і в Java-додатках. Вона може записувати різні дані про дії програми, в тому числі і ті, які вводить користувач. Ще одна важлива особливість бібліотеки полягає в тому, що вона може завантажувати дані за допомогою інтерфейсу JNDI. Серед іншого, він дозволяє підвантажувати дані за цією їй адресою в інтернеті.

Наприкінці листопада фахівці в галузі інформаційної безпеки з Alibaba виявили та розповіли розробникам бібліотеки з The Apache Software Foundation, що в ній міститься критична вразливість, що об'єднує ці дві особливості, а 9 грудня інформація стала публічною. Для експлуатації вразливості зловмисникам потрібно зробити так, щоб програма (сервер) записала в логи рядок з адресою їх веб-сторінки. Якщо рядок був оформлений відповідним чином, програма перейде за цією адресою і завантажить з нього дані, в тому числі і довільний код, який потім може бути виконаний з тими ж правами доступу, що і у самої Log4j. Є й інша реалізація, що змушує програму розкрити дані, наприклад, змінні середовища.

Відразу ж після того, як вразливість стала публічною, дослідники виявили різні варіанти її застосування, в тому числі і реальні випадки, коли її застосовували зловмисники. Одну з перших реалізацій виявили в грі Minecraft, де для віддаленого виконання коду на сервері або клієнтах (комп'ютерах інших гравців) було достатньо відправити повідомлення в ігровий чат. Потім дослідники виявили ще один простий спосіб експлуатації. З'ясувалося, що для цього можна перейменувати в налаштуваннях iPhone або навіть автомобіль Tesla. Як показали тести, після цього сервера Apple і Tesla записують в лог-файл нову назву з вставленим URL і переходять по ньому.

Розробники Log4j випустили оновлення з виправленням 6 грудня - за три дні до того, як про неї стало відомо публічно. При цьому фахівці з Cloudflare помітили, що вразливість почали застосовувати ще 1 грудня.

Ми не раз розповідали про критичні вразливості в популярних продуктах, які вкрай легко реалізуються на практиці. Наприклад, у 2019 році в iOS виявили вразливість, яка дозволяла заражати пристрої, коли вони заходили на сайт. А двома роками раніше в macOS знайшли простий спосіб отримати права суперкористувача без пароля. Для цього необхідно було ввести в поле користувача root, залишити поле пароля порожнім і натиснути кнопку вводу: вперше система відмовляла в отриманні прав, але повторне натискання все ж видавало їх.