Une grave vulnérabilité dans les bibliothèques de journalisation Java permet l’exécution de code à distance non authentifié et l’accès aux serveurs, avertissent des chercheurs.
Une vulnérabilité zero-day récemment découverte dans la bibliothèque de journalisation Apache Log4j est facile à exploiter et permettrait à des attaquants de prendre le contrôle total des serveurs affectés.
Identifiée comme CVE-2021-44228, la vulnérabilité est classée comme grave et permet l’exécution de code à distance non authentifié.
Selon le CERT néo-zélandais (CERT-NZ), cette vulnérabilité est déjà exploitée par des attaquants.
Le CERT-FR a également publié un avis
Le CERT-FR a également publié un avis concernant cette faille de sécurité. Les analystes de l’Anssi indiquent que « cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l’événement.
« Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification. Des preuves de concept ont déjà été publiées et des codes d’exploitation sont susceptibles d’être rapidement développés ».
Les systèmes et services qui utilisent la bibliothèque Apache Log4j entre les versions 2.0 et 2.14.1 sont tous concernés, notamment de nombreux services et applications écrits en Java.
Toute personne utilisant Apache Struts est « probablement vulnérable »
La vulnérabilité a été découverte pour la première fois dans Minecraft, mais les chercheurs avertissent que des applications cloud sont également vulnérables. Il est également utilisé dans des applications d’entreprise et il est probable que de nombreux produits se révèlent vulnérables à mesure que l’on en apprend davantage sur la faille.
Un article de blog publié par des chercheurs de LunaSec avertit que toute personne utilisant Apache Struts est « probablement vulnérable ».
« Compte tenu de l’omniprésence de cette bibliothèque, de l’impact de l’exploit (contrôle total du serveur) et de sa facilité d’exploitation, l’impact de cette vulnérabilité est assez grave. Nous l’appelons “Log4Shell” en abrégé », indique LunaSec.
Que faire face à cette menace ?
Les organisations peuvent identifier si elles sont affectées en examinant les fichiers journaux de tous les services utilisant les versions Log4j affectées. S’ils contiennent des chaînes de caractères envoyées par l’utilisateur, le CERT-NZ utilise l’exemple de “Jndi:ldap”, ils pourraient être affectés. Afin d’atténuer les vulnérabilités, les utilisateurs doivent basculer le paramètre log4j2.formatMsgNoLookups sur “true” en ajoutant “‐Dlog4j2.formatMsgNoLookups=True” à la commande JVM pour démarrer l’application.
Pour empêcher l’exploitation de la bibliothèque, il est vivement recommandé de mettre à jour les versions Log4j vers log4j-2.15.0-rc1.
« Si vous pensez que vous pourriez être affecté par CVE-2021-44228, Randori vous encourage à faire comme si vous l’étiez et à examiner les journaux concernant les applications affectées pour identifier une activité inhabituelle », écrivent des chercheurs en cybersécurité de Randori dans un article de blog. « Si des anomalies sont découvertes, nous vous encourageons à supposer qu’il s’agit d’un incident actif, que vous avez été compromis et à réagir en conséquence. »
source : zdnet