AccueilActualités informatiqueNiveau d'alerte rouge : la faille Log4j Zero Day menace les utilisateurs...

Niveau d’alerte rouge : la faille Log4j Zero Day menace les utilisateurs à domicile et les entreprises

L’Office fédéral allemand de la sécurité des technologies de l’information (BSI) a revu à la hausse le niveau d’alerte de la faille « zero-day » de la bibliothèque Java Log4j, largement répandue, qui a été rendue publique vendredi. Le niveau d’alerte le plus élevé est désormais rouge. Il a été observé que la faille peut être exploitée sans chargement explicite de code malveillant, ce qui rend inopérantes la plupart des contre-mesures recommandées auparavant.

Le code malveillant peut être contenu directement dans la requête, de sorte que même les systèmes conformes à la protection de base qui ne peuvent pas se connecter à Internet sont menacés. Comme mesures urgentes, le BSI recommande de désactiver les systèmes non indispensables, de segmenter les réseaux afin d’isoler les systèmes vulnérables et d’écraser autant que possible les contenus par des valeurs statiques, par exemple en utilisant des proxies dans les en-têtes HTTP. En outre, les systèmes indispensables aux processus commerciaux et qui ne peuvent pas être désactivés devraient faire l’objet d’une journalisation étendue et d’un enregistrement des connexions entrantes et sortantes afin de pouvoir déterminer plus facilement si un système a été compromis.

Comme la bibliothèque Java Log4j est un composant d’un très grand nombre d’applications Java, il est pour l’instant impossible de savoir combien de services Internet, y compris ceux d’entreprises renommées, sont concernés par cette faille « zero-day » qui permet d’exécuter n’importe quel code. Sur GitHub, on trouve une liste loin d’être exhaustive des services chez lesquels le code Proof-of-Concept (PoC) publié vendredi par le groupe Pen-Testing 0x0021h a frappé. Il s’agit d’un who-is-who des entreprises les plus connues, allant d’Amazon et Apple à VMWare en passant par CloudFlare, Google, IBM, Tesla et Twitter.

Sommaire

Mais les grands groupes ne sont pas les seuls à être menacés, Log4j est également présent dans de nombreux composants réseau et système utilisés par les petites entreprises, mais aussi par les particuliers et les employés travaillant à domicile. Ainsi, Ubiquiti, surtout connu des utilisateurs à domicile pour ses points d’accès WLAN compatibles avec le meshing, a déjà reconnu que son application frontale de configuration et de gestion UniFi Network Application était vulnérable et a mis à disposition une mise à jour.

Pour les entreprises dont les employés travaillent actuellement à domicile en raison de Corona et se connectent au réseau interne de l’entreprise par VPN avec leurs ordinateurs personnels, il s’agit d’une nouvelle alarmante. L’application réseau UniFi est également utilisée dans de nombreux hôtels, magasins, banques, cabinets médicaux et petites entreprises pour offrir aux visiteurs un accès à Internet via le réseau WLAN des invités au moyen de bons. Les composants de réseau d’autres fabricants pourraient également être concernés par cette faille, Cisco par exemple a déjà découvert quelques produits vulnérables, des dizaines d’autres produits Cisco font encore l’objet d’enquêtes. La plupart des fabricants gardent toutefois le silence.

Les serveurs et les composants réseau ne sont pas les seuls à être touchés par la faille de Log4j. Selon Cisco, le système de surveillance par caméra Cisco Video Surveillance Operations Manager est également vulnérable. Java est également très répandu dans les systèmes d’accès tels que les systèmes de fermeture numérique et dans les techniques d’automatisation ainsi que dans les maisons intelligentes – personne ne sait encore si ces systèmes peuvent également être compromis par la faille zero-day de Log4j.

Les spécialistes de la sécurité du monde entier travaillent fébrilement, malgré le week-end, à identifier les systèmes vulnérables et à colmater les brèches. Ils se livrent à une course contre les attaquants qui, eux aussi, font actuellement des heures supplémentaires. Selon le communiqué de presse, plusieurs sources CERT ont signalé au BSI des scans de masse et des attaques à l’échelle mondiale, et il y aurait également les premières compromissions réussies, notamment avec des cryptomineurs. Le BSI recommande d’appliquer immédiatement les mises à jour disponibles et de faire appel à du personnel informatique qualifié pour surveiller étroitement les systèmes critiques, surtout ceux accessibles de l’extérieur. Pour les administrateurs, cela signifie tout sauf un week-end tranquille.

Plus d'articles