Logo Spiria

Grave vulnérabilité Log4Shell

9 décembre 2021.

Cyber attack illustration.

© iStock.

Un grave vulnérabilité a été découverte dans log4j, une bibliothèque de journalisation open-source utilisée par des millions d’applications et de services sur Internet. La journalisation est un processus par lequel les applications conservent une liste des activités qu’elles ont effectuées, et qui peut être examinée ultérieurement en cas d’erreur. Presque tous les systèmes de sécurité réseau exécutent une sorte de processus de journalisation, ce qui donne aux bibliothèques populaires comme log4j une portée énorme. Baptisée Log4Shell, la vulnérabilité permet l’exécution de code à distance sur des serveurs vulnérables, donnant à un attaquant la possibilité d’importer des logiciels malveillants qui compromettraient complètement les machines.

L’exploitation de la faille a d’abord été aperçue sur des sites destinés aux utilisateurs de Minecraft, le jeu le plus populaire de tous les temps. Des attaquants ont pu exploiter la vulnérabilité en postant juste une chaîne de caractères spéciale, utilisant la syntaxe $ {}, sur le système de discussion de la version Java du jeu. La vulnérabilité est exceptionnellement facile à exploiter et peut être déclenchée de diverses manières. “Il s’agit d’une vulnérabilité très grave en raison de l’utilisation répandue de Java et de ce paquet log4j”, a déclaré John Graham-Cumming, directeur technique de Cloudflare, à The Verge. “Il y a une quantité énorme de logiciels Java connectés à Internet et dans les systèmes back-end. Quand je regarde les dix dernières années, je ne vois que deux autres exploits d’une gravité similaire : Heartbleed, qui permettait d’obtenir des informations de serveurs qui auraient dû être sécurisés, et Shellshock, qui permettait d’exécuter du code sur une machine distante.”

Une mise à jour de la bibliothèque log4j a déjà été publiée pour atténuer la vulnérabilité, mais compte tenu du temps nécessaire pour s’assurer que toutes les machines vulnérables soient mises à jour, Log4Shell reste une menace majeure.

The Verge, Corin Faife, “‘Extremely bad’ vulnerability found in widely used logging system.”

Ars Technica, Dan Goodin, “Zero-day in ubiquitous Log4j tool poses a grave threat to the Internet.”

2021-12-09