Depuis quelques jours, l’Internet est en alerte maximale en raison d’une vulnérabilité trouvée dans le module Java « log4j », dont le but est de procéder à des actions de journalisation. Baptisée « Log4Shell », cette faille a obtenu le plus haut score de criticité (10/10), car elle est très facile à exploiter et le logiciel vulnérable est très répandu. 01net.com fait le point sur la situation.
De quoi s’agit-il concrètement ?
Révélée par le chercheur en sécurité Chen Zhaojun d’Alibaba Cloud Security, la faille Log4Shell (CVE-2021-44228) permet de provoquer une connexion non souhaitée vers une ressource potentiellement malveillante par le biais de l’interface JDNI (Java Naming and Directory Interface). Il s’agit là d’un protocole qui permet de se connecter à des ressources locales ou distantes, par exemple au travers d’un annuaire LDAP.
Initier cette connexion est très facile. Il suffit de placer une chaîne de caractère de type « $ {jdni:<ressource malveillante> » dans un champ que ce logiciel va loguer dans le journal. Cela peut être par exemple l’entête User-Agent d’une requête HTTP, comme l’expliquent les chercheurs de LunaSec dans une note de blog. Le problème, c’est que cette chaîne de caractères ne va pas seulement être loguée, mais aussi être exécutée.
Quels systèmes sont vulnérables ?
Dans un premier temps, on estimait que seuls les systèmes qui étaient capables d’initier une connexion vers l’extérieur — et donc vers un serveur hébergeant un code malveillant — étaient à risque. Mais l’agence de cybersécurité allemande (BSI) a observé qu’il était possible d’intégrer du code malveillant directement dans la chaîne de caractère sus-citée. L’accès à un serveur externe ne serait ainsi pas nécessaire pour infecter un système. Par conséquent, si un système intègre un module log4j version 2 ou supérieure, et si ce dernier traite des données venues d’autres systèmes – ce qui est généralement le cas – il est potentiellement vulnérable.
Les fournisseurs de services cloud se retrouvent évidemment au cœur de la tempête. Un utilisateur de GitHub a établi une liste d’entreprises vulnérables. Parmi elles figurent tous les grands noms de la high-tech, preuves à l’appui : Google, Apple, Amazon, Twitter, IBM, Tesla, Tencent, Cloudflare, Baidu, Steam… Ainsi, chez Apple, la faille a pu être exploitée en injectant la fameuse chaîne de caractères dans l’identifiant d’un compte Apple, dans le nom d’un partage de connexion, dans le titre d’une chanson, etc. Même Minecraft était vulnérable. Il suffisait d’intégrer la chaîne dans une conversation chat.
A découvrir aussi en vidéo :
Mais… c’est la fin du monde ?
Non, mais presque. Un patch a été développé par la fondation Apache. Il suffit d’installer la version 2.15 de log4j pour supprimer la faille de sécurité. Une liste de produits vulnérables ou patchés est d’ailleurs disponible sur le site techsolvency.com. Malheureusement, la surface d’attaque globale ne se limite pas à ces produits. log4j est un module fondamental de Java, et peut donc se retrouver dans beaucoup d’autres systèmes, sans que personne soit réellement au courant. Il faudra donc beaucoup de temps pour évacuer complètement ce problème. C’est aussi pourquoi le chercheur en sécurité Florian Roth compare l’impact de Log4Shell à celle d’une bombe à fragmentation.
https://twitter.com/cyb3rops/status/1469671300285222917
Et que font les pirates pendant ce temps ?
Des heures supplémentaires, car c’est évidemment une occasion rêvée pour infecter un maximum de systèmes dans le monde. Selon le BSI, les pirates sont déjà en train de scanner l’ensemble de l’espace Internet à la recherche de systèmes vulnérables. Comme à chaque fois, c’est une course contre la montre entre les pirates d’un côté et les administrateurs système de l’autre. Les chercheurs en sécurité de Microsoft ont d’ores et déjà observé de premières compromissions. Ainsi, les pirates ont utilisé cette faille pour installer des mineurs de cryptomonnaies ou, de façon plus ciblée, pour installer le malware Cobalt Strike et infiltrer un réseau.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.