Depuis le 10 décembre, des acteurs malveillants ont réalisé des millions de tentatives d’exploitation de la bibliothèque Java Log4j 2 suite à la découverte d’une vulnérabilité connue sous le nom de Log4Shell par des experts de l’industrie. Selon une équipe qui suit l’impact de cette vulnérabilité, celle-ci représente une menace potentielle pour des millions d’autres applications et appareils dans le monde entier.
Qu’est-ce que Log4Shell ?
Log4Shell est une vulnérabilité logicielle dans Apache Log4j 2, une bibliothèque Java populaire permettant de journaliser des messages d’erreur dans les applications. La vulnérabilité, publiée sous le numéro CVE-2021-44228, permet à un attaquant distant de prendre le contrôle d’un appareil connecté à Internet si celui-ci exécute certaines versions de Log4j 2.
Apache a publié un correctif pour CVE-2021-44228, la version 2.15, le 6 décembre 2021. Cependant, ce correctif n’a pas corrigé toute la vulnérabilité, ce qui a entraîné CVE-2021-45046 et un deuxième correctif, la version 2.16, publié le 13 décembre. Apache a publié un troisième correctif, la version 2.17, le 17 décembre pour corriger une autre vulnérabilité liée, CVE-2021-45105. Enfin ils ont publié un quatrième correctif, 2.17.1, le 28 décembre pour corriger une autre vulnérabilité, CVE-2021-44832.
Les attaquants peuvent exploiter la vulnérabilité en utilisant des messages texte pour contrôler un ordinateur à distance. La Apache Software Foundation, qui publie la bibliothèque Log4j 2, a attribué à cette vulnérabilité un score CVSS de 10 sur 10, le score de gravité le plus élevé, en raison de son potentiel d’exploitation à grande échelle et de la facilité avec laquelle les attaquants malveillants peuvent l’exploiter. Alors que les mesures de contournement évoluent et que les dommages se déploient, les fondamentaux de la vulnérabilité Log4j ne changeront pas.
Quand les experts ont-ils découvert la vulnérabilité originale dans la bibliothèque Log4j 2 ?
Le chercheur en sécurité Chen Zhaojun d’Alibaba, la plus grande entreprise de commerce électronique de Chine, a signalé pour la première fois la vulnérabilité à la fondation Apache (un projet open-source) le 24 novembre. Ils ont découvert l’attaque le 9 décembre sur les serveurs qui hébergent le jeu Minecraft. Après une analyse forensique approfondie, ils ont réalisé que les cybercriminels avaient découvert la faille plus tôt et l’ont exploitée au moins depuis le 1er décembre 2021.
Quel est le risque lié à la vulnérabilité Log4Shell dans la bibliothèque Log4j 2 ?
Log4Shell est considérée comme une vulnérabilité zero-day car les acteurs malveillants ont probablement connu et exploité cette vulnérabilité avant les experts.
Ce qui rend la vulnérabilité log4j si dangereuse, c’est l’ubiquité de la bibliothèque Log4j 2. Elle est présente sur de grandes plateformes, comme Amazon Web Services et VMware, ainsi que sur de petits services. Le réseau de dépendances parmi les plateformes et services affectés signifie que le correctif peut être un processus complexe et potentiellement long.
En particulier, c’est la facilité d’exploitation de la vulnérabilité qui aggrave son impact. La bibliothèque Log4j 2 contrôle comment les applications enregistrent des chaînes de code et d’informations. La vulnérabilité permet à un attaquant de prendre le contrôle d’une chaîne et de tromper l’application en lui demandant d’exécuter du code malveillant sous le contrôle de l’attaquant. En conséquence, les attaquants peuvent prendre le contrôle de tout service connecté à Internet utilisant certaines versions de la bibliothèque Log4j n’importe où dans la pile logicielle.
Qu’est-ce que Log4j 2 et à quoi sert-il ?
Log4j 2 est une bibliothèque de logiciels Java très utilisée pour enregistrer des messages d’erreur dans les applications. Elle est intégrée à de nombreuses applications dans l’industrie, y compris les grands services de cloud comme Apple, Google, Microsoft et Cloudflare, ainsi que sur des plateformes comme Twitter et Stream. En plus de créer des journaux simples, Log4j 2 peut exécuter des commandes pour générer des informations de journalisation avancées et communiquer avec d’autres sources, comme les services de répertoire internes.
Comment la vulnérabilité Log4Shell cause-t-elle des dommages ?
Comme la bibliothèque Log4j 2 peut communiquer avec d’autres sources et services de répertoire internes, les attaquants peuvent facilement fournir à Log4j 2 des commandes malveillantes de l’extérieur et lui faire télécharger et exécuter du code dangereux à partir de sources malveillantes. Comment les attaquants peuvent exploiter Log4j 2 dépend des spécificités du système affecté. Jusqu’à présent, la vaste majorité des activités malveillantes consistait en des analyses en masse pour identifier les systèmes vulnérables. Selon un rapport de Microsoft, les attaquants ont exploité la vulnérabilité pour compromettre l’infrastructure de virtualisation, installer et exécuter des rançongiciels, voler les informations d’identification du système, prendre le contrôle complet des réseaux compromis et exfiltrer des données. Alors que les rapports continuent de s’accumuler sur l’exploitabilité de Log4Shell, les possibilités d’activités malveillantes semblent exponentielles. Les acteurs malveillants peuvent exécuter n’importe quel code sur le système cible, par exemple pour accéder à des données de configuration sensibles. En capturant ces données, les attaquants peuvent prendre le contrôle total d’un système et de toutes ses données et applications, c’est comme si un cambrioleur avait les clés de la porte d’entrée et le code de la serrure de la chambre forte.
Quelles sont les vulnérabilités publiées jusqu’à présent ?
CVE a publié quatre vulnérabilités liées à Log4Shell :
| Vulnérabilité | Quoi de vulnérable | Correctif Log4j 2 |
| CVE-2021-44832 (dernière) | Un attaquant ayant le contrôle du serveur LDAP cible pourrait lancer une attaque d’exécution de code à distance (RCE) lorsqu’une configuration utilise un Appender JDBC avec une source de données URI LDAP JNDI. | Log4j 2.17.1 pour Java 8 et plus. Il s’agit du dernier correctif. |
| CVE-2021-45105 (troisième) | Laisserait la porte ouverte pour qu’un attaquant lance une attaque de déni de service en provoquant une boucle de récurrence infinie sur des recherches référentielles auto. | Log4j 2.17.0 pour Java 8 et plus. |
| CVE-2021-45046 (deuxième) | Permettait aux attaquants de créer des données d’entrée malveillantes pouvant causer une fuite d’informations ou une exécution de code à distance. | Log4j 2.12.2 pour Java 7 et 2.16.0 pour Java 8 et plus. |
| CVE-2021-44228 (originale) | Possibilité pour un attaquant d’exécuter du code aléatoire en utilisant la fonctionnalité de recherche de messages. | Log4j 2.12.2 et Log4j 2.16.0 |
Pour s’assurer que les systèmes qui utilisent Log4j 2 sont protégés contre ces vulnérabilités, les équipes IT devraient appliquer le dernier correctif, Log4j 2.17.0 pour Java 8 et plus.
Que dois-je faire si je suis affecté par la vulnérabilité Log4Shell ?
Si vous utilisez une version de la bibliothèque Log4j 2 affectée par la vulnérabilité, vous devez la mettre à jour vers la version 2.17.1 ou ultérieure. Vous pouvez trouver cette version sur le site Web d’Apache.
Il est également recommandé de surveiller votre réseau et de vous assurer que tous les appareils et services connectés sont à jour et protégés contre les attaques. Si vous avez des doutes sur la sécurité de votre réseau, il est recommandé de contacter un professionnel de la sécurité informatique pour vous aider à évaluer et à protéger vos actifs.
Enfin, il est important de suivre les bonnes pratiques de sécurité, telles que la mise à jour régulière des logiciels et des appareils, l’utilisation de mots de passe forts et uniques et la sensibilisation des utilisateurs à la sécurité informatique. En suivant ces pratiques de base, vous pouvez réduire considérablement les risques liés aux vulnérabilités comme Log4Shell.
Comment la vulnérabilité Log4Shell affecte-t-elle les consommateurs ?
De nombreuses entreprises et organisations utilisent la bibliothèque Log4j dans de nombreuses applications et infrastructures, directement ou via des tiers. Dans le secteur de la consommation, de nombreux équipements de stockage connectés en réseau et de maison intelligente utilisent également la bibliothèque Log4j 2. Les utilisateurs devraient les déconnecter d’Internet jusqu’à ce que leurs fabricants mettent à disposition des mises à jour.
La plupart des entreprises ont placé un message de sécurité correspondant sur leurs sites Web décrivant ce qu’elles font à propos de la vulnérabilité Log4j.
Les consommateurs devraient installer les mises à jour logicielles fournies par les fournisseurs qu’ils utilisent. Ils devraient également essayer de découvrir si Log4Shell affecte les organisations qui hébergent les sites et services qu’ils utilisent. Si c’est le cas, ils devraient découvrir quelles mesures les organisations prennent pour protéger leurs informations personnelles.
Que devraient faire les équipes de sécurité informatique à propos de la vulnérabilité Log4Shell ?
Les organisations qui utilisent Log4j 2 dans leurs propres applications et infrastructures devraient les mettre à jour immédiatement. Cela vaut également pour les applications tierces. La version 2.17.0 sécurise entièrement la bibliothèque contre la vulnérabilité Log4Shell.
Parce que Log4Shell affecte de nombreux systèmes et est si facile à exploiter, les organisations doivent agir rapidement pour protéger leurs systèmes. Pour identifier rapidement les systèmes affectés, les organisations peuvent faire appel à des experts dans le domaine qui proposent des solutions pouvant immédiatement et automatiquement identifier les systèmes vulnérables et leurs dépendances et aider à prioriser les systèmes les plus critiques à mettre à jour en premier, en particulier sur le code en production.
Alors que Log4Shell continue de mettre en danger les applications et les données sensibles des entreprises, des solutions permettent aux organisations d’obtenir une vision en temps réel des actifs affectés par la vulnérabilité au moment de l’exécution et desquels sont les plus prioritaires, tout en surveillant l’environnement multicloud dans son ensemble. Cela permet ainsi de maintenir une prise de conscience en temps réel des activités malveillantes alors que vous faites face à l’impact de la vulnérabilité Log4Shell.
