Le 10 décembre 2021, une vulnérabilité critique de Log4j a été révélée : Log4Shell. Cette vulnérabilité – CVE-2021-44228 – a été classée avec un score CVSS de 10. Elle permet l’exécution de code à distance (RCE).
La vulnérabilité zero-day a été découverte par Chen Zhaojun de l’équipe Cloud Security d’Alibaba. Toutes les versions actuelles de log4j2 jusqu’à 2.14.1 sont vulnérables. L’Apache Software Foundation a publié une mise à jour de sécurité d’urgence pour corriger la vulnérabilité. Vous pouvez la corriger en mettant à jour l’application vers la version 2.15.0 ou ultérieure.
Apache Log4J est un logiciel de gestion des journaux utilisé pour le langage Java, et édité par la fondation Apache. De nombreux frameworks d’application dans l’écosystème Java utilisent ce framework de journalisation par défaut. Par exemple, Apache Struts 2, Apache Solr et Apache Druid sont affectés. La vulnérabilité a été repérée pour la première fois dans Minecraft. TechCrunch rapporte qu’Apple, Amazon, Twitter et Cloudflare sont vulnérables à l’attaque Log4Shell. Et bien d’autres, comme Steam, Tencent, Baidu, des millions d’applications reposant indirectement sur ces technologies.
La vulnérabilité est déjà exploitée
D’après le CERT de Nouvelle-Zélande (CERT-NZ), cette vulnérabilité serait déjà exploitée par des attaquants. Sophos a d’ailleurs indiqué avoir observé une montée en flèche des attaques exploitant ou tentant d’exploiter cette vulnérabilité, le nombre de tentatives détectées atteignant déjà plusieurs centaines de milliers. Il indique :
- Les botnets de cryptominage font partie des premières « attaques ». Ceux-ci se concentrent sur les plateformes de serveurs Linux, particulièrement exposées à cette vulnérabilité.
- Sophos a également enregistré des tentatives d’extraction d’informations de certains services, notamment des clés AWS et d’autres données privées.
- Sophos a remarqué que les tentatives d’exploitation de services réseau commencent par des sondes recherchant différents types. Environ 90 % des sondes détectées par Sophos se focalisent sur le protocole LDAP. Une plus petite proportion d’entre elles ciblaient Java Remote Interface (RMI) mais les chercheurs de Sophos ont relevé l’existence apparente d’un plus grand nombre de tentatives distinctes liées à RMI.
- Sophos s’attend à voir s’intensifier et se diversifier les méthodes d’attaque et les motivations des assaillants dans les jours et les semaines qui viennent, notamment avec la possibilité d’une exploitation par des ransomwares.
Réparer et mettre en place des programmes de cybersécurité matures
Snyk, une plateforme de sécurité pour développeurs, a indiqué avoir patché l’ensemble des services de sa plateforme Cloud s’appuyant sur Log4j d’Apache. Snyk recommande aux entreprises la mise à jour immédiate de la version Log4j d’Apache pour la version 2.15.0 ou plus. C’est la seule manière de réparer cette faille de sécurité.
Mais cela ne suffit pas. Selon Amit Yoran, président et CEO de Tenable, une société de cybersécurité basée à aux Etats-Unis Maryland et connu comme le créateur du logiciel d’analyse de vulnérabilité Nessu, cette faille « est la plus grande et la plus critique de la dernière décennie. Lorsque toutes les recherches seront terminées, nous apprendrons peut-être qu’il s’agit de la plus grande vulnérabilité de l’histoire de l’informatique moderne. » Il prévient : « Ce type de vulnérabilité nous rappelle que les organisations doivent mettre en place des programmes de cybersécurité matures pour comprendre les cyber-risques dans un monde dynamique. Bien que les détails soient encore en train d’émerger, nous encourageons les organisations à mettre à jour leurs contrôles de sécurité, à supposer qu’elles ont été compromises et à activer les plans de réponse aux incidents existants. »
Pour Sean Gallagher, chercheur senior en menaces chez Sophos, « la vulnérabilité Log4Shell présente un nouveau type de défi pour les défenseurs. De nombreuses vulnérabilités logicielles se limitent à un produit ou une plateforme spécifique, par exemple les failles ProxyLogon et ProxyShell dans Microsoft Exchange. Une fois connu le logiciel vulnérable, les défenseurs peuvent alors le vérifier et le corriger. Or Log4Shell est une bibliothèque utilisée par un grand nombre de produits. Sa vulnérabilité peut donc être présente au plus profond de l’infrastructure d’une entreprise, notamment dans tout logiciel développé en interne. La recherche de tous les systèmes vulnérables à cause de Log4Shell doit donc constituer une priorité pour la sécurité informatique. »
Sa conclusion s’impose :aux côtés de la mise à jour logicielle Log4j 2.15.0 déjà publiée par Apache, « les équipes de sécurité informatique doivent soigneusement passer en revue l’activité sur le réseau afin de repérer et d’éliminer tout intrus, même s’il ne paraît être qu’un malware courant. »
