Une nouvelle vulnérabilité zero-day dans le cadre de journalisation Java populaire Log4j a été découverte qui pourrait affecter Minecraft, iCloud, Steam et de nombreux autres produits logiciels qui utilisent Java dans leur code.
Tracé sous le nom CVE-2021-44228, ce type de vulnérabilité est particulièrement dangereux car il peut être exploité pour exécuter n’importe quel code et nécessite des compétences très faibles pour qu’un attaquant puisse le retirer. Étant donné que Log4j d’Apache est presque omniprésent dans les applications Java, une action immédiate est requise par les responsables du logiciel qui devront le corriger pour éviter d’être victime d’attaques potentielles.
Pour mettre cette vulnérabilité en contexte, une vulnérabilité similaire a été utilisée dans le piratage d’Equifax en 2017, qui a conduit à l’exposition en ligne des données personnelles de 149,7 millions de personnes.
Ce nouvel exploit pourrait s’avérer encore plus dangereux, car Log4j a été largement adopté dans la plupart des écosystèmes Java.
Sommaire
Exploiter Log4j
Selon un nouvel article de blog de Sonatype, la nouvelle de l’exploit Log4j a éclaté lorsqu’une preuve de concept de vulnérabilité (PoC) a été publiée dans un référentiel GitHub et rendue publique.
La vulnérabilité affecte Apache Log4j entre les versions 2.0 et 2.141 et au moment de la rédaction, il a déjà été signalé qu’elle était exploitée avec succès sur certains runtimes Java 11. Heureusement, Apache a publié un correctif au problème, mais les fabricants de logiciels devront désormais l’installer pour protéger leurs clients.
Cette vulnérabilité affecte toute application qui utilise Log4j pour la journalisation, y compris les jeux populaires tels que Minecraft où Sonatype a déjà vu des preuves de son exploitation à l’aide de sa fonctionnalité de chat intégrée. Tout comme avec d’autres attaques d’exécution de code à distance dans le passé, il existe également des preuves solides que les pirates et autres cybercriminels ont commencé à analyser en masse Internet à la recherche d’applications dans lesquelles cette vulnérabilité n’a pas encore été corrigée.
Les organisations qui utilisent Log4j dans leur logiciel doivent immédiatement le mettre à niveau vers la dernière version 2.15, disponible auprès de Maven Central.
CTO de Sonatype, Brian Fox a fourni des informations supplémentaires sur la vulnérabilité Log4j et l’impact potentiel qu’elle pourrait avoir dans le monde entier dans un e-mail à TechRadar Pro, en disant:
« Cette nouvelle vulnérabilité Log4j sera probablement un autre événement de « mémoire flash » dans la chronologie des vulnérabilités importantes. C’est le framework de journalisation le plus utilisé dans l’écosystème Java. L’étendue des applications affectées est comparable à la vulnérabilité de la collection commune de 2015 (CVE 2015-7501), car les attaquants peuvent supposer en toute sécurité que les cibles ont probablement cela sur le chemin de classe. L’impact est comparable aux vulnérabilités Struts précédentes, comme celle qui a affecté Equifax, car les attaques peuvent être effectuées à distance, de manière anonyme sans identifiants de connexion, et conduisent à un exploit à distance. La combinaison de la portée et de l’impact potentiel ici ne ressemble à aucune vulnérabilité de composant précédente dont je me souviens facilement. »
Nous avons également présenté le meilleur antivirus, meilleur logiciel de protection des terminaux et meilleurs outils de gestion des correctifs
