De nombreuses applications et serveurs basés sur Java sont vulnérables au nouvel exploit Log4Shell
Pourquoi c'est important: plus tôt cette semaine, les développeurs de la plate-forme de sécurité open source LunaSec ont découvert une vulnérabilité zero-day affectant une bibliothèque de journalisation basée sur Java largement utilisée. La vulnérabilité, identifiée dans un article de blog sous le nom de Log4Shell (CVE-2021-44228), peut donner à des tiers la possibilité d'exécuter du code malveillant sur des systèmes vulnérables.
La découverte de la vulnérabilité est attribuée aux chercheurs de LunaSec et à Chen Zhaojun d'Alibaba Cloud Security. Il exploite un utilitaire de journalisation basé sur Apache largement utilisé, log4j, pour enregistrer les données du serveur avec des charges utiles malveillantes qui déclenchent une série d'actions pour injecter une charge utile secondaire. La charge utile secondaire permet l'exécution à distance de code sur le système affecté.
Les chercheurs chargés d'identifier la vulnérabilité, découverte initialement sur les serveurs Minecraft, pensent que des centaines de milliers d'entreprises et de systèmes pourraient être menacés en raison de l'utilisation généralisée du service de journalisation basé sur Apache. Les analystes ont déjà identifié plusieurs grandes entreprises et services comme vulnérables, notamment Amazon, Apple, Elastic, Steam, Tencent et Twitter. Le directeur de la cybersécurité de l'Agence de sécurité nationale, Robert Joyce, a également confirmé que GHIDRA, l'outil d'ingénierie inverse open source de l'agence, était également affecté.
LunaSec note que toute personne utilisant le framework Apache Struts est probablement vulnérable. Une mise à jour ultérieure a développé la déclaration, indiquant que les versions JDK supérieures à 6u211, 7u201, 8u191 et 11.01 ne sont pas affectées par le vecteur basé sur LDAP de l'attaque. Cependant, cela ne signifie pas que les versions ultérieures sont complètement immunisées, car des vecteurs d'attaque alternatifs peuvent toujours être utilisés pour tirer parti de la vulnérabilité Log4Shell afin de lancer l'exécution de code à distance.
La découverte de LunaSec et le CVE qui en résulte fournissent aux systèmes concernés des mesures d'atténuation temporaires et permanentes pour s'assurer que l'exploit n'a pas d'impact négatif sur leurs serveurs et leurs opérations. Une version mise à jour du service log4j, v2.15.0, a corrigé l'exploit et a été mise à disposition pour téléchargement. Une atténuation temporaire a également été fournie dans le CVE pour les organisations incapables de mettre à niveau leur service log4j pour le moment.
Crédit image: Markus Spiske