Une dangereuse vulnérabilité de sécurité identifiée dans la bibliothèque de journalisation Java Log4j a exposé de vastes pans d'Internet à des acteurs malveillants.
Jour zéro Les exploits sont aussi graves que possible, surtout lorsqu'ils sont identifiés dans un logiciel aussi omniprésent que la bibliothèque de journalisation Log4j d'Apache. Un exploit de validation de principe a été partagé en ligne, exposant tout le monde à de potentielles attaques d'exécution de code à distance (RCE), et affectant certains des plus grands services du Web. L'exploit a été identifié comme étant « activement exploité » et constitue l'un des exploits les plus dangereux rendus publics ces dernières années.
Log4j est un package de journalisation Java populaire développé par Apache Software Foundation, et CVE-2021-44228 affecte toutes les versions de Log4j entre la version 2.0-beta-9 et la version 2.14.1. Il a été patché dans la version la plus récente de la bibliothèque, version 2.15.0, sorti il y a quelques jours. De nombreux services et applications s'appuient sur Log4j, y compris des jeux comme Minecraft, où la vulnérabilité a été découverte pour la première fois. Les services cloud tels que Steam et Apple iCloud se sont également révélés vulnérables, et il est probable que toute personne utilisant Apache Struts le soit également. Il a été démontré que même le changement du nom d'un iPhone déclenchait la vulnérabilité sur les serveurs d'Apple.
Cette vulnérabilité était découvert par Chen Zhaojun de l'équipe de sécurité Alibaba Cloud. Tout service qui enregistre les chaînes contrôlées par l'utilisateur était vulnérable à l'exploit. La journalisation des chaînes contrôlées par l'utilisateur est une pratique courante par les administrateurs système afin de détecter les abus potentiels de la plateforme, bien que ces les chaînes doivent ensuite être « nettoyées » -- le processus de nettoyage des entrées de l'utilisateur pour garantir qu'il n'y a rien de dangereux pour le logiciel en cours d'exécution. soumis.
Log4Shell rivalise avec Heartbleed dans sa gravité
L'exploit a été surnommé « Log4Shell », car il s'agit d'une vulnérabilité RCE non authentifiée qui permet une prise de contrôle totale du système. Il y a déjà un exploit de preuve de concept en ligne, et il est ridiculement facile de démontrer que cela fonctionne grâce à l'utilisation d'un logiciel de journalisation DNS. Si vous vous souvenez du Saignement de cœur vulnérabilité d'il y a plusieurs années, Log4Shell lui donne définitivement du fil à retordre en termes de gravité.
"Comme pour d'autres vulnérabilités très médiatisées telles que Heartbleed et Shellshock, nous pensons qu'il un nombre croissant de produits vulnérables seront découverts dans les semaines à venir", a déclaré l'attaque Randori. Équipe dit sur leur blog aujourd'hui. "En raison de la facilité d'exploitation et de l'étendue de l'applicabilité, nous soupçonnons les acteurs du ransomware de commencer immédiatement à exploiter cette vulnérabilité", ont-ils ajouté. Des acteurs malveillants parcourent déjà massivement le Web pour tenter de trouver des serveurs à exploiter (via Ordinateur qui bipe).
"De très nombreux services sont vulnérables à cet exploit. Les services cloud comme Steam, Apple iCloud et les applications comme Minecraft se sont déjà révélés vulnérables", LunaSec a écrit. « Quiconque utilise Apache Struts est probablement vulnérable. Nous avons déjà vu des vulnérabilités similaires exploitées lors de violations telles que la violation de données d'Equifax en 2017. " LunaSec a également déclaré que les versions Java supérieurs à 6u211, 7u201, 8u191 et 11.0.1 sont moins affectés en théorie, bien que les pirates puissent toujours contourner le problème. limites.
La vulnérabilité peut être déclenchée par quelque chose d'aussi banal que le nom d'un iPhone, démontrant que Log4j est vraiment partout. Si une classe Java est ajoutée à la fin de l'URL, cette classe sera injectée dans le processus serveur. Les administrateurs système disposant de versions récentes de Log4j peuvent exécuter leur JVM avec l'argument suivant pour empêcher également l'exploitation de la vulnérabilité, à condition que ils sont sur au moins Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (l'équipe nationale d'intervention en cas d'urgence informatique de Nouvelle-Zélande) a émis un avis de sécurité avertissant de exploitation active dans la nature, et cela a également été confirmé par Directeur de l'ingénierie de la coalition - Sécurité Tiago Henriques et Kevin Beaumont, expert en sécurité. La vulnérabilité a également été jugée si dangereuse par Cloudflare que tous les clients bénéficient d'une « certaine » protection par défaut.
Il s’agit d’un exploit incroyablement dangereux qui peut faire des ravages en ligne. Nous garderons un œil attentif sur ce qui se passera ensuite.