Plusieurs médias ont signalé la découverte de la vulnérabilité critique CVE-2021-44228 dans la bibliothèque Log4j développée par Apache, avec un score CVSS de 10 sur 10. Des millions d’applications Java utilisent cette bibliothèque pour enregistrer les messages d’erreur. Pire encore, les cybercriminels utilisent déjà activement cette faille de sécurité. Ainsi, l’Apache Foundation recommande aux développeurs de mettre à jour la bibliothèque et d’installer la version 2.15.0 et, si cela s’avère impossible, d’utiliser une des méthodes décrites sur la page Apache Log4j Security Vulnerabilities.
Pourquoi la vulnérabilité CVE-2021-44228 est-elle si dangereuse
La vulnérabilité CVE-2021-44228, aussi connue comme Log4Shell ou LogJam, appartient à la catégorie d’exécution de code à distance. Si les cybercriminels arrivent à l’exploiter dans un des serveurs, ils peuvent exécuter un code arbitraire et potentiellement prendre le contrôle du système.
La vulnérabilité CVE-2021-44228 est facilement exploitable et c’est pour cela qu’elle est aussi dangereuse. Même un débutant peut réussir l’attaque en exploitant cette faille de sécurité. Selon les chercheurs, les cybercriminels n’ont qu’à obliger l’application à écrire une chaîne dans le registre. Ils pourront ensuite télécharger leur propre code dans l’application grâce à la fonction de substitution de recherche de message.
Des preuves de concept (PoC) d’attaques qui exploitent la faille CVE-2021-44228 sont d’ores et déjà disponibles sur Internet. Ainsi, il n’est pas surprenant que les entreprises de cybersécurité enregistrent des analyses massives de réseaux à la recherche d’applications vulnérables ou d’attaques qui visent les pots de miel (honeypots).
Cette vulnérabilité a été découverte par Chen Zhaojun de l’équipe de sécurité Cloud d’Alibaba.
Qu’est-ce que la bibliothèque Apache Log4J et pourquoi est-elle si populaire
Apache Log4j fait partie du projet Apache Logging. De manière générale, cette bibliothèque est une des méthodes les plus faciles pour enregistrer les erreurs et c’est pourquoi la plupart des développeurs Java l’utilisent.
Les grandes entreprises de logiciels et de services en ligne utilisent la bibliothèque Log4j, dont Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter, et bien d’autres. Comme cette bibliothèque est si populaire, certains chercheurs en sécurité informatique s’attendent à une augmentation significative du nombre d’attaques sur les serveurs vulnérables au cours des prochains jours.
#Log4Shell pic.twitter.com/1bKDwRQBqt
— Florian Roth (@cyb3rops) December 10, 2021
Quelles versions de la bibliothèque Log4j sont vulnérables et comment protéger vos serveurs
Presque toutes les versions de Log4j sont vulnérables, de 2.0-beta9 à 2.14.1. Pour une protection simple et efficace, vous devez installer la version la plus récente de la bibliothèque : 2.15.0. Vous pouvez la télécharger depuis la page du projet.
Si, pour une quelconque raison, vous ne pouvez pas mettre à jour la bibliothèque, Apache Foundation recommande d’utiliser une des méthodes d’atténuation des risques. Pour les versions de Log4j comprises entre 2.10 et 2.14.1, l’entreprise conseille d’utiliser la propriété log4j2.formatMsgNoLookups du système, ou de configurer l’environnement variable LOG4J_FORMAT_MSG_NO_LOOKUPS en true.
Pour protéger les versions antérieures de Log4j (de 2.0-beta9 à 2.10.0), les développeurs de la bibliothèque conseillent de supprimer la classe JndiLookup du chemin de classe zip -q -d log4j-core – *. Jar org / apache / logging / log4j / core / lookup / JndiLookup .class.
De plus, nous vous conseillons d’installer des solutions de sécurité sur vos serveurs puisqu’elles vous permettront, dans la plupart des cas, de détecter le lancement d’un code malveillant et d’interrompre le développement d’une attaque.