Pourquoi c’est important : plus tôt cette semaine, les développeurs de la plate-forme de sécurité open source LunaSec ont découvert une vulnérabilité zero-day affectant une bibliothèque de journalisation Java largement utilisée. La vulnérabilité, identifiée dans un article de blog sous le nom de Log4Shell (CVE-2021-44228), peut donner à des tiers la possibilité d’exécuter du code malveillant sur des systèmes vulnérables.
La découverte de la vulnérabilité est attribuée aux chercheurs de LunaSec et Chen Zhaojun d’Alibaba Cloud Security. Il s’appuie sur un utilitaire de journalisation basé sur Apache, largement utilisé, log4j, pour consigner les données du serveur avec des charges utiles malveillantes qui déclenchent une série d’actions pour injecter une charge utile secondaire. La charge utile secondaire permet l’exécution à distance de code sur le système affecté.
Les chercheurs chargés d’identifier la vulnérabilité, découverte initialement sur les serveurs Minecraft, pensent que des centaines de milliers d’entreprises et de systèmes pourraient être menacés en raison de l’utilisation généralisée du service de journalisation basé sur Apache. Les analystes ont déjà identifié plusieurs grandes entreprises et services comme vulnérables, notamment Amazon, Apple, Elastic, Steam, Tencent et Twitter. Le directeur de la cybersécurité de la National Security Agency, Robert Joyce, a également confirmé que GHIDRA, l’outil d’ingénierie inverse open source de l’agence, a également été affecté.
LunaSec note que toute personne utilisant le framework Apache Struts est probablement vulnérable. Une mise à jour ultérieure a développé la déclaration, indiquant que les versions JDK supérieures à 6u211, 7u201, 8u191 et 11.01 ne sont pas affectées par le vecteur LDAP de l’attaque. Cependant, cela ne signifie pas que les versions ultérieures sont complètement à l’abri, car des vecteurs d’attaque alternatifs peuvent toujours être utilisés pour tirer parti de la vulnérabilité Log4Shell pour lancer l’exécution de code à distance.
La découverte de LunaSec et le CVE qui en résulte fournissent aux systèmes affectés des mesures d’atténuation temporaires et permanentes pour garantir que l’exploit n’a pas d’impact négatif sur leurs serveurs et leurs opérations. Une version mise à jour du service log4j, v2.15.0, a corrigé l’exploit et est disponible en téléchargement. Une atténuation temporaire a également été fournie dans le CVE pour les organisations incapables de mettre à niveau leur service log4j pour le moment.
Si vous voulez plus d’informations et quelques exemples d’utilisations de la faille Log4Shell (notamment l’attaque des serveurs du jeu Minecraft), nous vous invitons à lire la vidéo ci-dessous, en activant les sous-titres traduits automatiquement en français pour les non anglophone :
Crédit image : Markus Spiske