Mises à jour critiques de Log4j par Eye CERT

Introduction

Les attaquants exploitent activement une vulnérabilité d'exécution de code à distance trouvée dans le paquet de journalisation log4j2 qui est utilisé dans la plupart des applications Java. Un programme est vulnérable s'il consigne les entrées utilisateur à l'aide du paquet log4j2 : la solution de consignation la plus utilisée dans Java. Étant donné que les développeurs ont tendance à enregistrer presque tout à des fins de débogage, presque toutes les applications enregistrent les entrées utilisateur.

L'attaque

Il suffit à un attaquant d'envoyer une seule ligne de texte à une application vulnérable. Une fois que l'application enregistre cette ligne de texte, la charge utile contenue dans le texte sera récupérée par le système et exécutée. L'attaquant sera en mesure d'exécuter à distance du code sur l'ordinateur hébergeant l'application. De nombreuses preuves de concept de l'attaque sont déjà disponibles sur Internet. La vulnérabilité n'affecte pas seulement les systèmes directement connectés à l'internet, mais aussi les systèmes dorsaux. Si les attaquants tentent d'exploiter la vulnérabilité sur les serveurs web, il est possible que cet exploit aboutisse sur les serveurs dorsaux. Si l'un de ces serveurs dorsaux contient une application Java vulnérable traitant les entrées utilisateur, un attaquant pourrait exécuter du code sur vos serveurs dorsaux.

Versions vulnérables

Toutes les versions à partir de 2.0-beta9 jusqu'à 2.15 du paquet log4j2 sont vulnérables. Les versions 1.x de log4j ne sont pas vulnérables, mais ont atteint leur limites de vie depuis août 2015 et ne doivent donc pas être considérées comme sûres.

Atténuation

  • Mettez à jour log4j2 à la version 2.17.0 ou supérieure (nécessite un accès et un redémarrage). Les versions pour les anciennes versions de Java (6 ou 7) sont disponibles sur le site Web Apache.org.

Si vous ne pouvez pas mettre à jour votre bibliothèque log4j2, il existe quelques options d'atténuation disponibles. Le site Apache.org en propose une liste ici.

Produits affectés

Cette vulnérabilité peut vous affecter dans plusieurs domaines. Les produits que vous utilisez peuvent être affectés, mais aussi les applications développées en interne et les applications SaaS dans le nuage. La plupart des grands fournisseurs de SaaS ont déjà pris les mesures appropriées.

Des centaines de produits sont vulnérables à la vulnérabilité de Log4Shell. Les fournisseurs concernés sont FortiNet, Dell, Apache, Microsoft, N-Able et VMware. Le Centre national de cybersécurité (NCSC) des Pays-Bas a publié une liste de tous les logiciels affectés. Utilisez cette liste pour déterminer si votre entreprise utilise un logiciel vulnérable et, le cas échéant, veillez à le mettre à jour dès qu'une mise à jour est disponible.

Si votre entreprise (ou l'un de vos fournisseurs informatiques) développe des logiciels Java personnalisés, tels que des applications Web, vérifiez si log4j2 est utilisé dans le produit. Si c'est le cas, la version de log4j2 doit être mise à jour à la dernière version.

Sources

Publié le 13 décembre 2021

Articles liés

Tout montrer