Une faille critique dans la bibliothèque Apache Log4j exploitée dans la nature (CVE-2021-44228)

Une vulnérabilité critique de type « zero-day » dans Apache Log4j, une bibliothèque de journalisation Java largement utilisée, est exploitée par des attaquants dans la nature – pour l’instant principalement pour livrer des mineurs de pièces de monnaie.

Signalé à l’Apache Software Foundation par Chen Zhaojun, de l’équipe de sécurité d’Alibaba Cloud, le bogue a apparemment été corrigé dans Log4j v2.15.0, alors qu’un PoC est apparu sur GitHub et que des rapports indiquent que des attaquants tentent déjà de compromettre les applications/serveurs vulnérables.

L’Apache Software Foundation indique que dans Apache Log4j2 versions 2.14.1 et antérieures, « les fonctionnalités JNDI utilisées dans la configuration, les messages de journal et les paramètres ne protègent pas contre le contrôle par un attaquant de LDAP et d’autres points de terminaison liés à JNDI. Un attaquant qui peut contrôler les messages de journal ou les paramètres des messages de journal peut exécuter du code arbitraire chargé à partir de serveurs LDAP lorsque la substitution de recherche de message est activée. »

« La vulnérabilité de log4j analyse ces données et les transmet à l’hôte malveillant via l’interface Java Naming and Directory. La ressource de première étape sert de tremplin vers un autre point de terminaison contrôlé par l’attaquant, qui sert du code Java à exécuter sur la victime initiale. En fin de compte, cela donne à l’adversaire la possibilité d’exécuter le code qu’il souhaite sur la cible : exécution de code à distance ».

« De très nombreux services sont vulnérables à cet exploit. Des services en nuage comme Steam, Apple iCloud et des applications comme Minecraft ont déjà été trouvés vulnérables. Toute personne utilisant Apache Struts est probablement vulnérable. Nous avons déjà vu des vulnérabilités similaires exploitées dans des brèches comme celle d’Equifax en 2017. »

« Si votre organisation utilise Apache log4j, vous devez mettre à niveau vers log4j-2.1.50.rc2 immédiatement. Assurez-vous que votre instance Java est à jour ; toutefois, il convient de noter qu’il ne s’agit pas d’une solution universelle. Vous devrez peut-être attendre que vos fournisseurs diffusent des mises à jour de sécurité pour leurs produits concernés », ajoute M. Hammond.

Partagez cet article sur les réseaux sociaux:

Abonnez-vous à l'Infolettre!
Abonnez-vous à notre bulletin mensuel pour rester au fait des principaux risques de cybersécurité.

Les Dernières Nouvelles de Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques de sécurité, lisez le ici en premier:

Faites nous part de vos besoins.
Obtenez une réponse le même jour ouvrable.

Faites nous part de vos besoins. Obtenez une réponse le même jour ouvrable.

Complétez le formulaire suivant et obtenez la réponse d’un expert le prochain jour ouvrable.
Un besoin urgent? Appelez-nous au 1-877-805-7475 ou prenez rendez-vous.
PCI-DSS

Une fois le formulaire envoyé:

  • Nous vous contactons pour connaître vos objectifs
  • Nous travaillons ensemble pour définir la portée du projet.
  • Vous obtenez une soumission tout incluse, sans engagement.

Scroll to Top

PRENEZ RENDEZ-VOUS

Veuillez Entrer
Votre Courriel Corporatif