Log4Shell可以破解你的iPhone甚至特斯拉

既然Log4Shellcat已經不存在了，研究人員正在試驗該漏洞可以在野外使用的所有不同方式。這包括最近的兩個示例，展示了如何在iPhone或Tesla汽車上使用Log4j開源Java工具中的漏洞來破壞與端點通信的服務器。

一位荷蘭研究人員演示了如何將iPhone的名稱更改為字符串會迫使另一端的服務器嘗試訪問特定的URL。一位不知名的研究人員對一輛特斯拉汽車做了同樣的事情，他們將他們的結果發布到匿名的Log4jAttackSurfaceGithub存儲庫。

從理論上講，惡意行為者可以在服務器上托管惡意軟件，然后通過更改iPhone的名稱，可以強制Apple的服務器訪問該服務器的URL并下載惡意軟件。

不過，這是一個長期目標，因為任何維護良好的網絡都能夠相對輕松地防止此類攻擊。此外，TheVerge進一步解釋說，沒有跡象表明這種方法會導致這些公司的任何更廣泛的妥協。

Log4Shell是最近在Log4jJava工具中發現的漏洞的名稱，一些研究人員認為該工具可以處理數百萬臺設備以進行事件記錄。

網絡安全和基礎設施安全局(CISA)局長JenEasterly將這一缺陷描述為她在整個職業生涯中所見過的“最嚴重的缺陷之一”，“如果不是最嚴重的”。

Easterly解釋說：“我們預計該漏洞將被老練的參與者廣泛利用，我們采取必要措施以減少損害的可能性的時間有限。”

它被跟蹤為CVE-2021-44228，并允許惡意行為者運行幾乎任何代碼。專家警告說，利用該漏洞所需的技能非常低，并敦促大家盡快修補Log4j。

在其軟件中使用Log4j的組織應立即將其升級到最新的2.15版本，該版本可從MavenCentral獲得。