Une récente vulnérabilité est dévoilée par plusieurs organes de contrôle. Je vous livre plus de détails sur la faille Log4Shell.
Une faille rapidement dévoilée
La première détection de la faille revient à l’équipe de sécurité d’Alibaba Cloud. La notification est adressée à Apache dès le 24 novembre 2021.
Le 10 décembre 2021, l’équivalent allemand de l’ANSSI ou Agence Nationale de la Sécurité des Systèmes d’Information, reprend l’information. Il s’agit de la découverte d’une vulnérabilité dans la bibliothèque Open source de journalisation LoG4j sous le développement d’Apache.
Concrètement, la faille touche les versions 2.0 et 2.14.1.
L’utilisation de la bibliothèque
Cette bibliothèque sensible est sollicitée dans les projets de développement Java/J 2 EE. Il faut ajouter les éditeurs de solutions logiciels sur étagère reposant sur Java/J 2 EE, selon la CERT-F, un organe de l’ANSSI.
Les victimes possibles sont très nombreuses.
La faille Log4Shell en question
Concrètement, la faille favorise l’action d’un individu malveillant qui veut exécuter un code arbitraire à distance. En clair, il doit être apte à soumettre une donnée à une application qui fait appel à la bibliothèque Log 4j.
La bibliothèque sert à la journalisation d’évènements. En outre, l’attaque est possible sans authentification.
En parallèle, un utilisateur malveillant accède aux informations disponibles sur un site internet, aux données personnelles. Il lui suffit d’exécuter un malware sur le site cible.
Des vulnérabilités très critiques
Le BSI équivalent allemand de l’ANSSI parle d’une menace extrêmement critique. En effet, les utilisateurs du Log4 j sont ultra-nombreux et la faille va toucher des produits de façon très étendue.
La bibliothèque de journalisation comprend une liste de logiciels selon la CERT de Nouvelle-Zélande. Il faut citer entre autres Struts 2, Solr, Flink, ElasticSearch, Kafka, Druid.
Il convient d’ajouter Minecraft, Azure, iCloud d’Apple, Steam, Oracle.
Les solutions contre la faille Log4 Shell
Il faut reposer uniquement sur la version 2.15.0. Pour leur part, les éditeurs qui disposent de Log4 j ont publié des correctifs au fur et à mesure.
Face aux problèmes de migrations vers la version 2.15.0, il est possible de recourir à des mesures de contournement. Ainsi, les entreprises et les entités publiques concernées doivent cartographier la totalité des systèmes et des logiciels afin de contrer la menace.
De son côté, la ville de Québec a même fermé temporairement 3 997 sites et services. Les villes d’Ottawa et de Montréal lui ont emboîté le pas.
Plus pragmatique, la France n’a pas eu encore annoncé de mesures spécifiques. Retrouvez d’autres infos ici.
Crédit Photo : bleepingcomputer.com & logz.io
