La faille critique Log4j activement exploitée par les cybercriminels
Utilisée par des millions d’applications Java, la librairie de journalisation Log4j fait peur à de nombreuses entreprises. Celles-ci doivent vérifier au plus vite toutes leurs applications et mettre à jour cette bibliothèque.
Connue sous le nom de CVE-2021-44228, la vulnérabilité a été publiée dès le 9 décembre. Heureusement, les développeurs ont été très réactifs et ont publié un correctif avec la version 2.15.0 de la librairie.
Vulnérabilité très élevée
La faille, classée 10/10 sur l’échelle CVSS, peut être facilement exploitée par les cybercriminels. Selon CERT-FR « cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s'il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l'évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d'une page d'authentification qui journalise les erreurs d'authentification ».
Effet domino
La faille n’affecte pas seulement les applications basées sur Java mais aussi de nombreux autres composants et frameworks qui en dépendent. Tel est le cas d’Apache Struts2, Solr, Druid, Flink, ElasticSearch, Kafka, etc.
La communauté n’a pas encore évalué précisément l’impact de la faille mais il est probable qu’un effet domino se produise car certains des composants touchés sont utilisés pas des millions d’applications. Des services gérés par Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu et d'autres ont été signalés comme étant vulnérables.
Les mesures à prendre
HOSTEUR conseille tous ses clients de suivre les préconisations de l'ANSSI. N’hésitez pas à tester vos serveurs via le site https://log4j-tester.trendmicro.com/ pour vérifier si la faille est exploitable depuis internet.
Notre équipe reste à votre entière disposition en cas de besoin !
Sources :
Le Monde informatique
CERT