Une vulnérabilité critique de type «zero-day» dans Apache Log4j, une bibliothèque de journalisation Java largement utilisée, est exploitée par des attaquants dans la nature – pour l’instant principalement pour livrer des mineurs de pièces de monnaie.
Signalé à l’Apache Software Foundation par Chen Zhaojun, de l’équipe de sécurité d’Alibaba Cloud, le bogue a apparemment été corrigé dans Log4j v2.15.0, alors qu’un PoC est apparu sur GitHub et que des rapports indiquent que des attaquants tentent déjà de compromettre les applications/serveurs vulnérables.
L’Apache Software Foundation indique que dans Apache Log4j2 versions 2.14.1 et antérieures, «les fonctionnalités JNDI utilisées dans la configuration, les messages de journal et les paramètres ne protègent pas contre le contrôle par un attaquant de LDAP et d’autres points de terminaison liés à JNDI. Un attaquant qui peut contrôler les messages de journal ou les paramètres des messages de journal peut exécuter du code arbitraire chargé à partir de serveurs LDAP lorsque la substitution de recherche de message est activée.»
«La vulnérabilité de log4j analyse ces données et les transmet à l’hôte malveillant via l’interface Java Naming and Directory. La ressource de première étape sert de tremplin vers un autre point de terminaison contrôlé par l’attaquant, qui sert du code Java à exécuter sur la victime initiale. En fin de compte, cela donne à l’adversaire la possibilité d’exécuter le code qu’il souhaite sur la cible : exécution de code à distance».
«De très nombreux services sont vulnérables à cet exploit. Des services en nuage comme Steam, Apple iCloud et des applications comme Minecraft ont déjà été trouvés vulnérables. Toute personne utilisant Apache Struts est probablement vulnérable. Nous avons déjà vu des vulnérabilités similaires exploitées dans des brèches comme celle d’Equifax en 2017.»
«Si votre organisation utilise Apache log4j, vous devez mettre à niveau vers log4j-2.1.50.rc2 immédiatement. Assurez-vous que votre instance Java est à jour ; toutefois, il convient de noter qu’il ne s’agit pas d’une solution universelle. Vous devrez peut-être attendre que vos fournisseurs diffusent des mises à jour de sécurité pour leurs produits concernés», ajoute M. Hammond.
