Un défaut très grave dans Apache Log4j, appelé Log4Shell, est maintenant devenu la vulnérabilité de sécurité la plus médiatisée sur Internet en ce moment avec un note de gravité de 10/10 . Log4j est une bibliothèque Java open source pour la journalisation des messages d'erreur dans les applications, largement utilisée par d'innombrables entreprises technologiques.
Désormais, les services des grandes entreprises technologiques souffrent actuellement de ce que les experts en sécurité appellent l'une des failles les plus critiques de l'histoire récente. Cette faille est capable de permettre aux pirates un accès illimité aux systèmes informatiques.
Selon le récent rapport de Microsoft, au moins une douzaine de groupes d'attaquants tentent déjà d'exploiter la faille afin de voler les informations d'identification du système, d'installer des crypto-mineurs sur des systèmes sujets, de voler des données et de creuser plus profondément dans les réseaux compromis.
La faille est si grave que l'agence de cybersécurité du gouvernement américain a lancé un avertissement urgent à toutes les entreprises vulnérables et leur a suggéré de prendre des mesures efficaces immédiatement. Découvrez tout sur cette vulnérabilité Zero-day - Log4j en détail, et comment vous pouvez en rester à l'abri.
Mettre à jour : Deuxième vulnérabilité Log4j découverte ; Patch publié
Mardi, une deuxième vulnérabilité impliquant Apache Log4j a été découverte. Cela survient après que les experts en cybersécurité aient passé des jours à corriger ou à atténuer le premier. Le nom officiel de cette vulnérabilité est CVE 2021-45046.
La description indique que le correctif pour corriger CVE-2021-44228 dans Apache Log4j 2.15.0 était incomplet dans certaines configurations autres que celles par défaut. Cela pourrait permettre aux attaquants… de créer des données d'entrée malveillantes à l'aide d'un modèle de recherche JNDI, ce qui entraînerait une attaque par déni de service (DOS)
La société de sécurité internationale ESET présente une carte montrant où se déroule l'exploitation de Log4j.
Source de l'image : CAS
La bonne chose est qu'Apache a déjà publié un correctif, Log4j 2.16.0, pour résoudre et résoudre ce problème. Le dernier correctif résout le problème en supprimant la prise en charge des modèles de recherche de message et en désactivant la fonctionnalité JNDI par défaut.
Qu'est-ce que la vulnérabilité Log4j ?
La vulnérabilité Log4j, également appelée Log4Shell, est un problème lié à la bibliothèque Java Logj4 qui permet aux exploiteurs de contrôler et d'exécuter du code arbitraire et d'accéder à un système informatique. Le nom officiel de cette vulnérabilité est CVE-2021-44228 .
Log4j est une bibliothèque Java open-source, créée par Apache, chargée de conserver un enregistrement de toutes les activités d'une application. Les développeurs de logiciels l'utilisent largement pour leurs applications. Par conséquent, même les plus grandes entreprises technologiques comme Microsoft, Twitter et Apple sont actuellement sujettes aux attaques.
Comment la vulnérabilité Log4j a-t-elle été découverte ou trouvée ?
La vulnérabilité Log4Shell (Log4j) a été découverte pour la première fois par des chercheurs de LunaSec dans Minecraft, propriété de Microsoft. Plus tard, les chercheurs ont réalisé qu'il ne s'agissait pas d'un problème de Minecraft et LunaSec a averti que de très nombreux services étaient vulnérables à cet exploit en raison de la présence omniprésente de Log4j.
Depuis lors, de nombreux rapports sont arrivés le décrivant comme l'un des défauts les plus graves de ces derniers temps, et un défaut qui affectera Internet pour les années à venir.
Que peut faire la vulnérabilité Log4j ?
La vulnérabilité Log4j est capable d'accorder un accès complet au système aux pirates/attaquants/exploiteurs. Ils doivent simplement exécuter un code arbitraire pour obtenir un accès illimité. Cette faille peut également leur permettre d'acquérir le contrôle complet du serveur lorsqu'ils manipulent correctement le système.
La définition technique de la faille dans la bibliothèque CVE (Common Vulnerabilities and Exposures) indique qu'un attaquant qui peut contrôler les messages de journal ou les paramètres de message de journal peut exécuter du code arbitraire chargé à partir de serveurs LDAP lorsque la substitution de recherche de message est activée.
Par conséquent, Internet est en alerte maximale car les exploiteurs essaient en permanence de cibler les systèmes faibles.
Quels appareils et applications sont exposés à la vulnérabilité Log4j ?
La vulnérabilité Log4j est grave pour tout sournois qui exécute Apache Log4J versions 2.0 à 2.14.1 et a accès à Internet. Selon le NCSC, les frameworks Apache Struts2, Solr, Druid, Flink et Swift incluent les versions d'affection (Log4j version 2 ou Log4j2).
Cela met un grand nombre de services, y compris ceux des géants de la technologie comme iCloud d'Apple, Minecraft de Microsoft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn, etc.
Pourquoi cette vulnérabilité est-elle si grave et pourquoi y faire face est extrêmement difficile ?
Cette vulnérabilité est si grave que les pirates tentent plus de 100 fois par minute d'exploiter les systèmes gravement faibles à l'aide d'Apache Log4j2. Cela met des millions d'entreprises en danger de cybervol.
Selon les rapports, uniquement en Inde, cette faille a exposé 41 % des entreprises au risque de piratage. Check Point Research a déclaré avoir détecté plus de 846 000 attaques exploitant la faille.
Kryptos Logic qui est une société de sécurité a annoncé que il a découvert plus de 10 000 adresses IP différentes scannant Internet, et c'est 100 fois le nombre de systèmes qui recherchent LogShell .
Cette vulnérabilité est si massive en raison du fait qu'Apache est le serveur Web le plus utilisé et que Log4j est le package de journalisation Java le plus populaire. Il compte plus de 400 000 téléchargements à partir de son référentiel GitHub uniquement.
Comment rester à l'abri de la vulnérabilité Log4j ?
Selon les derniers utilisateurs, Apache corrige les problèmes pour tout le monde sur Log4j 2.15.0 et supérieur car ils désactivent le comportement par défaut. Les experts essaient en permanence de déterminer comment minimiser le risque de cette menace et protéger les systèmes. Microsoft et Cisco ont également publié des avis pour la faille.
LunaSec a mentionné que Minecraft a déjà déclaré que les utilisateurs peuvent mettre à jour le jeu pour éviter tout problème. D'autres projets open source comme Paper publient également des correctifs pour résoudre le problème .
Cisco et VMware ont également publié des correctifs pour leurs produits concernés. La plupart des grandes entreprises technologiques ont maintenant abordé le problème publiquement et proposé des mesures de sécurité à leurs utilisateurs ainsi qu'à leurs employés. Ils doivent juste les suivre strictement.
Que disent les experts de la vulnérabilité Log4j ?
La vulnérabilité Log4j a laissé les administrateurs système et les professionnels de la sécurité perplexes pendant le week-end. Cisco et Cloudflare ont signalé que les pirates exploitaient ce bogue depuis le début de ce mois. Cependant, les chiffres ont considérablement augmenté après la divulgation par Apache jeudi.
Habituellement, les entreprises traitent ces défauts en privé. Mais la portée de l'impact de cette vulnérabilité était si vaste que les entreprises ont dû s'y attaquer publiquement. Même l'aile de la cybersécurité du gouvernement américain a émis un sérieux avertissement.
Samedi, Jen Easterly, directrice de l'Agence américaine de cybersécurité et de sécurité des infrastructures, a déclaré que La vulnérabilité est déjà utilisée par un 'ensemble croissant d'acteurs menaçants', cette faille est l'une des plus graves que j'ai vues de toute ma carrière, sinon la plus grave.
Chris Frohoff, un chercheur indépendant en sécurité dit que Ce qui est presque certain, c'est que pendant des années, les gens découvriront la longue traîne de nouveaux logiciels vulnérables en pensant à de nouveaux endroits pour mettre les chaînes d'exploitation. Cela apparaîtra probablement dans les évaluations et les tests de pénétration des applications d'entreprise personnalisées pendant longtemps.
Les experts estiment que s'il est important d'être conscient de l'impact durable imminent de la vulnérabilité, la première priorité doit être de prendre dès maintenant autant de mesures que possible pour réduire les dégâts.
Alors que les attaquants chercheront désormais des moyens plus créatifs de découvrir et d'exploiter autant de systèmes que possible, cette faille effrayante continuera de causer des destructions sur Internet pour les années à venir !
