Le correctif Log4J pour corriger les graves zero-day a sa propre vulnérabilité qui est déjà activement exploitée

6

Facepalm : Les exploits Log4J qui tourmentent les administrateurs de serveurs depuis la semaine dernière se poursuivent, car le correctif publié pour bloquer les intrusions semble avoir ses propres failles de sécurité. Certaines entreprises qui avaient déjà mis à jour Log4J 2.15.0 ont continué à subir des attaques d’au moins une des deux nouvelles faiblesses trouvées.

La semaine dernière, des chercheurs en sécurité ont informé les développeurs qu’ils avaient découvert une vulnérabilité zero-day activement exploitée dans le framework Apache Struts. La faille était dans l’utilitaire de journalisation Log4J. La Fondation Apache a publié un correctif avec la version 2.15.0 et a divulgué publiquement la faiblesse au cours du week-end.

Au cours des 72 heures qui ont suivi la publication de la mise à jour, l’exploitation de la faille a explosé, les chercheurs traquant jusqu’à 100 attaques par minute et près d’un million d’incidents au total. De grandes entreprises, dont Apple, Amazon, Cisco et d’autres, se sont empressées de colmater le trou.

Presque aussi rapidement que les systèmes installaient Log4J 2.15.0, les sociétés de sécurité Praetorian et Cloudflare ont commencé à voir des attaques actives dans les systèmes corrigés. Les chercheurs ont identifié au moins deux exploits dans une nouvelle vulnérabilité identifiée comme CVE-2021-45046.

Une faiblesse, découverte mardi, a permis aux pirates d’effectuer des attaques DDoS en manipulant les "modèles de recherche de message" et la "fonctionnalité JNDI". Apache les a désormais désactivés par défaut dans Log4J 2.16.0.

Puis mercredi, les analystes de Praetorian ont trouvé un autre exploit qui permettrait aux pirates d’exfiltrer les données des serveurs vulnérables. Praetorian a publié une vidéo de preuve de concept démontrant l’ exfiltration sur Log4J 2.15.0 (ci-dessus). La mise à jour 2.16.0 s’en charge également.

"Dans nos recherches, nous avons démontré que la version 2.15.0 peut toujours permettre l’exfiltration de données sensibles dans certaines circonstances", a noté Praetorian dans un avertissement de mise à niveau immédiate. "Nous avons transmis les détails techniques du problème à la Fondation Apache, mais dans l’intervalle, nous recommandons vivement aux clients de passer à la version 2.16.0 le plus rapidement possible."

La société de sécurité Cloudflare a déclaré mercredi qu’elle suivait CVE-2021-45046 et avait déjà vu la faille être activement exploitée, mais n’a pas précisé si les attaques étaient DDoS, l’exfiltration de données ou les deux. Il recommande également aux administrateurs système de mettre à jour Log4J 2.16.0 dès que possible.

Les deux sociétés gardent secrets les détails techniques des exploits pendant que les travailleurs de l’industrie mettent à jour leurs systèmes.

Source d’enregistrement: www.techspot.com

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More