Face aux cyberattaques de grande ampleur générées par Log4j, la fondation open source Apache a publié le 13 décembre 2021 la version 2.15.0 de Log4j pour corriger cette « vulnérabilité de gravité maximale » connue sous le nom de CVE-2021-44228, mais aussi sous celui de Log4Shell ou LogJam précédemment. L’open source sur la sellette ?
La vulnérabilité très critique dans la bibliothèque de journalisation Apache Log4j est apparue au grand jour la semaine dernière suite aux succès des exploits de type « proof-of-concept ». Ils ont commencé dès la mise à disposition gratuite du code d’exploitation par Apach.org. Les premières attaques ont même été détectées dès le 24 novembre par l’équipe de sécurité du Cloud d’Alibaba, le principal cloud public chinois. « Des logiciels tels que VMWare, WebEx et PulseSecure VPN étant affectés, cela peut entraîner des temps d’arrêt et des perturbations pendant que des mesures d’atténuation sont prises » estiment les experts d’Acronis.
Le « Fukushima » de la cybersécurité ?
Cette faille a mis en panique toute la planète IT car elle impacte directement, ou non, des dizaines de millions d’applications dans le monde. Pire, « l‘exploitation de cette vulnérabilité est si simple que les utilisateurs de Minecraft ont pu déclencher la faille en envoyant un message dans le chat de Minecraft ». selon Amit Yoran, président et PDG de Tenable. Il ajoute « La vulnérabilité d’exécution de code à distance d’Apache Log4j est la plus grande et la plus critique des vulnérabilités de la dernière décennie. Lorsque toutes les recherches seront terminées, nous apprendrons peut-être qu’il s’agit de la plus grande vulnérabilité de l’histoire de l’informatique moderne ». Renaud Deraison, son directeur technique, parle même de « Fukushima » de la cybersécurité !
C’est sans doute un peu excessif. Toutefois, la cybermenace est considérable. Les agences officielles pour la cybersécurité des infrastructures du monde entier (Anssi, Cisa, etc.) travaillent en urgence à la résolution du problème, qui ne sera pas complètement réglé avant des semaines estime l’Anssi. En effet, Log4j est un outil de journalisation open-source en Java qui fait partie des services de journalisation Apache utilisés par les applications d’un très grand nombre de fournisseurs dans le monde. Selon les experts, il s’agit d’une injection de Java Naming and Directory Interface (JNDI) qui permet l’exécution de code à distance non authentifié. Les adversaires peuvent l’exploiter en changeant l’agent utilisateur de leur navigateur.
L‘open source en cause dans cette vulnérabilité ?
Quel rôle a joué l’open source dans cette vulnérabilité, et quelles sont les principales considérations de sécurité pour les organisations utilisant des outils comme Log4j ? Réponse de Jonathan Tanner, chercheur en sécurité chez Barracuda : « S’agissant d’une bibliothèque open source très populaire, le nombre d’applications vulnérables est certainement plus élevé. En règle générale, tout logiciel peut être vulnérable aux attaques et souvent, les logiciels open source populaires bénéficient d’un large écosystème qui recherche et corrige les menaces de sécurité. Ainsi, si les logiciels libres font les choux gras de la presse lorsque des failles de sécurité majeures sont découvertes, cela ne signifie pas qu’ils sont proportionnellement moins sûrs (et en fait, ils sont probablement beaucoup plus sûrs que le code propriétaire ou les bibliothèques moins populaires). Une utilisation généralisée augmente simplement la probabilité que des vulnérabilités soient découvertes, mais pas nécessairement la probabilité qu’elles existent ».
