Серверы iPhone и Tesla взломали… переименованием устройств

Специалисты по информационной безопасности компании Alibaba выявили критическую уязвимость в открытой библиотеке для ведения логов — записей действий пользователей и программ Log4j, — разработанную международным консорциумом The Apache Software Foundation.

Уязвимость позволяла переименовать любое устройство, это коснулось айфонов и электромобилей Tesla, таким образом, что серверы этих компаний переходили по нужным злоумышленникам адресам в интернете. Для этого нужно переименовать устройство, добавив в название домен, в который можно встроить вредоносный скрипт.

И когда сервер запишет в логи строку с адресом нужной хакерам веб-страницы, то переходит по адресу и загружает с него все необходимые данные и инструкции. К ним относится и произвольный код, позволяющий исполнять его с правами, имеющимися у самой библиотеки логов Log4j.

Тесты уязвимости обнаружили, что достаточно переименовать в настройках айфон или электрокар Tesla, серверы Apple и Tesla записывают в лог-файл новое название с вставленным URL и переходят по нему.

Разработчик библиотеки, после обращения к нему специалистов Alibaba, выпустил обновление с устранением уязвимости. Это произошло 6 декабря, а применять этот баг злоумышленники начали ещё 1 декабря. О каких-либо последствиях этого пока не сообщается.