Investigadores de segurança publicaram capturas de ecrã onde se pode constatar que mudar o nome de um iPhone ou de um Tesla para uma combinação de caracteres especial fez com que os servidores destas duas empresas visitassem um URL de testes criado para o efeito. Depois da mudança de nome, o tráfego de entrada mostrava pedidos de endereços de IP da Apple e, no caso da Tesla, da China Unicom, a empresa parceira da fabricante automóvel no mercado chinês. Caso as imagens sejam genuínas, confirma-se que os servidores das duas empresas podem também estar vulneráveis a um tipo de ataque que não devia ser possível, com o carregamento de recursos remotos a ser ativado por um comando de texto introduzido no campo do nome.
Apesar de haver esta ‘abertura’, ainda não é claro como é que cibercriminosos a podem explorar, explica o The Verge: em teoria, o atacante pode ter código malicioso no URL de destino para infetar os servidores, mas a rede poderá ter mecanismos de defesa a outro nível para evitar males maiores. Não há, para já, evidências de que as redes da Apple ou da Tesla tenham sido afetadas ou exploradas por esta vulnerabilidade.
A vulnerabilidade Log4Shell explora o código aberto de uma ferramenta Java chamada log4j usada para registo de atividades de aplicações (logging) em vários cenários. Para já, não é possível aferir com exatidão quantos aparelhos ou sistemas estão vulneráveis, mas estima-se que sejam na ordem dos milhões, incluindo soluções mais recônditas, que não costumam estar expostas a este tipo de situações.
A exploração desta falha é relativamente simples: engana-se a aplicação a interpretar um texto como se fosse uma ligação para um recurso remoto e tenta-se que esse recurso seja disponibilizado, em vez do texto. Basta que uma linha de caracteres especiais passe para os registos guardados pela log4j para desencadear o comportamento esperado.
A biblioteca log4j já foi atualizada para mitigar a vulnerabilidade, mas a disponibilização para todas as máquinas afetadas ainda deve demorar, dada a complexidade de todos os sistemas envolventes.
