Фахівці з інформаційної безпеки компанії Alibaba виявили критичну вразливість у відкритій бібліотеці для ведення логів – записів дій користувачів та програм Log4j, – розроблену міжнародним консорціумом The Apache Software Foundation.
Вразливість дозволяла перейменувати будь-який пристрій, це стосувалося айфонів та електромобілів Tesla, таким чином, що сервери цих компаній переходили за потрібними зловмисникам адресам в інтернеті. Для цього потрібно перейменувати пристрій, додавши в назву домен, в який можна вбудувати шкідливий скрипт.
І коли сервер запише в логи рядок з адресою потрібної хакерам веб-сторінки, то переходить за адресою і завантажує всі необхідні дані та інструкції. До них відноситься і довільний код, що дозволяє виконувати його з правами, що є у бібліотеки логів Log4j.
Тести вразливості виявили, що достатньо перейменувати в налаштуваннях айфон або електрокар Tesla, сервери Apple і Tesla записують в лог-файл нову назву з вставленою URL-адресою і переходять по ньому.
Розробник бібліотеки після звернення до нього фахівців Alibaba випустив оновлення з усуненням уразливості. Це сталося 6 грудня, а застосовувати цей баг зловмисники розпочали ще 1 грудня. Про якісь наслідки цього поки що не повідомляється.