Une vulnérabilité zero-day baptisée « Log4Shell » et divulguée le 9 décembre 2021 par des chercheurs sur GitHub (avec le degré de gravité maximal) met l’Internet mondial en émoi. La faille concerne Log4j, une bibliothèque de journalisation (enregistrement des informations) Java open source, développée par la fondation Apache, qui représente environ un tiers des serveurs Internet dans le monde.
Log4j est utilisé dans de nombreuses applications et services logiciels
Log4j est utilisé dans un très grand nombre d’applications et services logiciels partout dans le monde, parmi lesquels ceux de Twitter, Amazon, Microsoft ou Minecraft. À travers cette faille, des cybercriminels peuvent prendre le contrôle total d’un serveur Java, en faisant par exemple lire à la bibliothèque de ce serveur le contenu d’une page web envoyée, et ainsi lancer des attaques par exécution de code à distance sans nécessité d’authentification.
Les conséquences potentiellement catastrophiques de la vulnérabilité de Log4Shell
En raison de la présence importante de Log4j sur Internet, les conséquences de la vulnérabilité de Log4Shell pourraient être catastrophiques. La directrice de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a indiqué que la vulnérabilité était « l’une des plus graves [qu’elle ait] vues dans toute sa carrière, si ce n’est la plus grave », et que la CISA s’attend à ce qu’elle soit « largement exploitée » par des acteurs malveillants. Selon la CISA, des « centaines de millions » d’appareils pourraient être affectés.
L’exploitation de la vulnérabilité de Log4Shell par des acteurs malveillants
Le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) a confirmé que la vulnérabilité de Log4Shell faisait désormais l’objet d’une exploitation. Selon le spécialiste en cybersécurité Check Point, 40 % des réseaux mondiaux ont subi une tentative d’exploitation de la vulnérabilité le lundi 13 décembre, avec plus de 100 tentatives d’exploitation par minute. La plupart des attaques consistaient à installer des programmes de minage de cryptomonnaies sur les appareils ciblés, mais il est également possible que les exploitations mènent à des attaques par ransomware dans les semaines à venir grâce à un effet de propagation vers d’autres machines.
Les mesures à prendre pour protéger contre la vulnérabilité de Log4Shell
Apache a publié un correctif avec la version 2.15.0 de Log4j (la vulnérabilité concerne les versions 2.0 à 2.14.1), que le CERT-FR recommande d’installer. « La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence », ajoute le centre de veille. « Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des patchs de sécurité. »
Pour conclure, la vulnérabilité Log4Shell dans Log4j 2 est une grave menace pour l’Internet mondial, car elle permet aux attaquants de prendre le contrôle total de serveurs Java et de lancer des attaques par exécution de code à distance. Des centaines de millions d’appareils pourraient être affectés par cette faille, qui est largement exploitée par les acteurs malveillants. Pour protéger contre cette vulnérabilité, il est recommandé d’installer le dernier patch de Log4j 2, version 2.15.0 pour les versions 2.0 à 2.14.1. Cependant, il est important de mettre à jour avec prudence et de prendre des dispositions pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour. Les organisations qui utilisent Log4j 2 devraient mettre à jour leur bibliothèque immédiatement pour se protéger contre cette vulnérabilité.
