Dans les médias, on ne parle que de Log4j en ce moment. C’est quoi ?

C’est une bibliothèque développée par Apache, utilisée par des millions d’applications Java pour enregistrer des traces et des historiques d’applications. C’est l’une des méthodes les plus faciles pour enregistrer les logs. C’est pourquoi la plupart des développeurs Java l’utilisent.

👩‍💻 Qui l’utilise ?

Voici quelques noms d’entreprises (connues ?) : Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter, et plein d’autres. 

🔔 Quelle est la vulnérabilité qui défraie la chronique depuis quelques jours ?

C’est la vulnérabilité CVE-2021-44228, aussi connue sous le nom Log4Shell ou LogJam

👽 Comment l’exploiter ?

Un attaquant peut forcer l’application à modifier le registre, par exemple intégrant du code malveillant dans l’URL, ou dans le formulaire de connexion. Il peut réaliser cette opération à distance, sans avoir à s’identifier.

Ainsi il peut ajouter dans le registre « une fonction remplaçant la recherche de message d’historique », qui lui permet de télécharger son propre code  dans l’application, et ainsi d’en prendre le contrôle.

A partir de là, il pourra accéder au serveur avec les permissions de l’application (root ?), exécuter du code arbitraire pour accéder à des données, corrompre des services ou prendre le contrôle du système.

Elle semble ainsi à la portée de presque n’importe quel initié aux techniques d’attaque cyber.

🖐 Qui l’a découverte ?

Chen Zhaojun de l’équipe de sécurité Cloud d’Alibaba.

🥇 Pourquoi un score CVSS de 10 sur 10 ?

Si les cybercriminels arrivent à exploiter cette vulnérabilité dans un des serveurs, ils peuvent exécuter un code arbitraire et potentiellement prendre le contrôle du système.

🛠 Que faire pour se protéger ?

Identifier (rapidement ?) l’ensemble des applications au sein de votre organisation qui utilisent cette bibliothèque.

Si ce n’est pas déjà fait et maintenu dans une cartographie de votre SI, … , y faire face risque d’être (très) chronophage et douloureux.

Apache Foundation recommande aux développeurs de mettre à jour la bibliothèque et d’installer la version 2.15.0.

En cas de difficulté de migration vers cette version, les contournements ci-dessous peuvent être appliqués temporairement :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/