Исследователи в области информационной безопасности нашли необычный способ использования обнаруженной недавно уязвимости в широко используемой библиотеке Log4j, сообщает The Verge. Оказалось, что для этого можно переименовать iPhone или автомобиль Tesla, вставив в название домен (в который можно вставить вредоносный скрипт), после чего сервера компаний-производителей перейдут на них.
Log4j — это открытая библиотека для ведения логов, часто применяемая на веб-серверах и в Java-приложениях. Она может записывать различные данные о действиях программы, в том числе и те, которые вводит пользователь. Еще одна важная особенность библиотеки заключается в том, что она может загружать данные с помощью интерфейса JNDI. Среди прочего, он позволяет подгружать данные по данному ей адресу в интернете.
В конце ноября специалисты в области информационной безопасности из Alibaba обнаружили и рассказали разработчикам библиотеки из The Apache Software Foundation, что в ней содержится критическая уязвимость, объединяющая эти две особенности, а 9 декабря информация стала публичной. Для эксплуатации уязвимости злоумышленникам нужно сделать так, чтобы программа (сервер) записала в логи строку с адресом их веб-страницы. Если строка была оформлена соответствующим образом, программа перейдет по этому адресу и загрузит из нее данные, в том числе и произвольный код, который затем может быть исполнен с теми же правами доступа, что и у самой Log4j. Есть и другая реализация, заставляющая программу раскрыть данные, например, переменные окружения.
Сразу же после того, как уязвимость стала публичной, исследователи обнаружили самые разные варианты ее применения, в том числе и реальные случаи, когда ее применяли злоумышленники. Одну из первых реализаций обнаружили в игре Minecraft, где для удаленного выполнения кода на сервере или клиентах (компьютерах других игроков) было достаточно отправить сообщение в игровой чат. Затем исследователи обнаружили еще один простой способ эксплуатации. Выяснилось, что для этого можно переименовать в настройках iPhone или даже автомобиль Tesla. Как показали тесты, после этого сервера Apple и Tesla записывают в лог-файл новое название с вставленным URL и переходят по нему.
Разработчики Log4j выпустили обновление с исправлением 6 декабря — за три дня до того, как о ней стало известно публично. При этом специалисты из Cloudflare заметили, что уязвимость начали применять еще 1 декабря.
Мы не раз рассказывали о критических уязвимостях в популярных продуктах, которые крайне легко реализуются на практике. Например, в 2019 году в iOS обнаружили уязвимость, которая позволяла заражать устройства, когда они заходили на сайт. А двумя годами ранее в macOS нашли простой способ получить права суперпользователя без пароля. Для этого необходимо было ввести в поле пользователя root, оставить поле пароля пустым и нажать кнопку ввода: в первый раз система отказывала в получении прав, но повторное нажатие все же выдавало их.
Григорий Копиев