Anzeige
Anzeige
News
Artikel merken

Log4Shell: So könnten iPhones und Teslas ihre Hersteller angreifen

Wie einfach die Sicherheitslücke in Log4j auszunutzen ist, zeigen Forschende nun, indem sie ein iPhone und einen Tesla umbenennen und auf ihre Hersteller loslassen. Unklar bleibt das Erfolgspotenzial des Vorgehens.

2 Min. Lesezeit
Anzeige
Anzeige

Erste Log4j-Attacker versuchen, Mirai-Botnet zu installieren. (Illustration: Shutterstock)

Sicherheitsexperten haben einen Weg gefunden, wie sie Remote-Server sehr einfach auf Verletzlichkeiten prüfen können. Sie nahmen ein iPhone und einen Tesla und benannten die Geräte um. Dabei verwendeten sie als neue Namen eine spezielle Exploit-Zeichenkette. Das reichte aus, um einen Ping sowohl von Apples wie von Teslas Servern auszulösen.

Apple- und Tesla-Server ließen sich zum Aufruf einer beliebigen URL zwingen

Anzeige
Anzeige

Das belegten die Experten mit Screenshots, die sie zu Beweiszwecken in sozialen Medien posteten. Die iPhone-Demonstration stammt von einem niederländischen Sicherheitsforscher; die andere wurde in das anonyme Log4jAttackSurface-Github-Repository hochgeladen.

In den Demonstrationen reagierten die Server der beiden Hersteller völlig erwartungsgemäß. Sie riefen anstandslos die in der Zeichenkette integrierte Test-URL auf. Eben das wollten die Forschenden beweisen. Es ist demnach möglich, per Exploitcode beliebige URLs aufrufen zu lassen. Das sollte im Grunde so leicht nicht sein.

Anzeige
Anzeige

Erfolg der Demonstration zunächst kein Beleg für Verwundbarkeit

Daraus aber nun zu schließen, dass Apple und Tesla über die Sicherheitslücke gehackt werden könnten, wäre mindestens voreilig und in dieser Einfachheit jedenfalls ein falscher Schluss. Denn die Nützlichkeit der Möglichkeit, beliebige URLs aufzurufen, ist unklar. Theoretisch könnte ein Angreifer zwar bösartigen Code unter der versteckt eingeschleusten Ziel-URL hosten, um anfällige Server zu infizieren. Das könnte ein gut gewartetes Netzwerk aber auf der Protokollebene unterbinden. Die Annahme, allein das Einschleusen einer URL würden den Angriff realisieren, ginge daher fehl.

Anzeige
Anzeige

Nach wie vor ist nicht vollends klar, wie groß das Ausmaß der Log4j-Lücke ist, die das BSI am Samstag auf die höchste Warnstufe gehoben hatte. Es gibt zwar bereits ein Update, das ist aber nicht so einfach eingespielt. In den meisten Fällen muss zunächst untersucht werden, ob Log4j überhaupt im Einsatz ist, in welcher Version und wo das Update dann greifen könnte. In vielen Fällen dürfte Log4j als reine Abhängigkeit eingebaut sein.

Erste Versuche, Mirai-Bots zu installieren, entdeckt

Forschende gehen daher von Millionen potenziell betroffener Server aus. Besonders gefährdet könnten Geräte sein, die eine Dienstleistung erbringen, die im Grunde wartungsfrei läuft. Beispielsweise berichtet die Digital-Forensik-Plattform Cado, dass sie Server entdeckt hat, die versuchen, die Log4j-Schwachstelle zur Installation von Mirai-Botnet-Code zu nutzen.

Anzeige
Anzeige

Die Kolleginnen und Kollegen von The Verge hatten Exploit-Code per SMS an SMS-Nummern eines Mobilfunk-Providers gesendet und daraufhin automatisierte Antworten von den Servern des Unternehmens erhalten. Die enthielten Informationen über die IP-Adresse und den Hostnamen des Servers, was darauf hindeutet, dass die Server zur Ausführung von bösartigem Code verleitet werden könnten. Das ist aber derzeit noch alles sehr dem Konjunktiv verhaftet.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige