Une vulnérabilité dans le cadre de journalisation Log4j a poussé les équipes de sécurité à mettre en place un correctif.
Une vulnérabilité dans une bibliothèque de logging largement utilisée s’est transformée en un véritable effondrement de la sécurité, affectant les systèmes numériques à travers l’internet. Les pirates tentent déjà de l’exploiter, mais même si des correctifs apparaissent, les chercheurs préviennent que la faille pourrait avoir de graves répercussions dans le monde entier.
Le problème réside dans Log4j, un cadre de journalisation Apache omniprésent et open source que les développeurs utilisent pour conserver un enregistrement de l’activité au sein d’une application. Les responsables de la sécurité se démènent pour corriger le bogue, qui peut être facilement exploité pour prendre le contrôle de systèmes vulnérables à distance. Dans le même temps, les pirates informatiques scrutent activement l’internet à la recherche de systèmes affectés. Certains ont déjà mis au point des outils qui tentent automatiquement d’exploiter le bogue, ainsi que des vers qui peuvent se propager indépendamment d’un système vulnérable à un autre si les conditions sont réunies.
Log4j est une bibliothèque Java, et si le langage de programmation est moins populaire auprès des consommateurs de nos jours, il est encore très largement utilisé dans les systèmes d’entreprise et les applications Web. Les chercheurs ont déclaré vendredi à Wired qu’ils s’attendaient à ce que de nombreux services grand public soient affectés.
Par exemple, Minecraft, propriété de Microsoft, a publié vendredi des instructions détaillées sur la manière dont les joueurs de la version Java du jeu doivent corriger leurs systèmes. “Cet exploit affecte de nombreux services, y compris Minecraft Java Edition”, peut-on lire dans le message. “Cette vulnérabilité présente un risque potentiel de compromission de votre ordinateur”. Le PDG de Cloudflare, Matthew Prince, a tweeté vendredi que le problème était “si grave” que la société d’infrastructure Internet allait essayer de déployer au moins une certaine protection, même pour les clients de son niveau de service gratuit.
Tout ce qu’un attaquant doit faire pour exploiter la faille est d’envoyer stratégiquement une chaîne de code malveillant qui est finalement enregistrée par Log4j version 2.0 ou supérieure. L’exploitation permet à un attaquant de charger un code Java arbitraire sur un serveur, ce qui lui permet d’en prendre le contrôle.
“C’est un échec de conception aux proportions catastrophiques”, déclare Free Wortley, PDG de la plateforme de sécurité des données open source LunaSec, dont les chercheurs ont publié jeudi un avertissement et une évaluation initiale de la vulnérabilité de Log4j.
Des captures d’écran de Minecraft circulant sur des forums semblent montrer des joueurs exploitant la vulnérabilité à partir de la fonction de chat de Minecraft. Vendredi, certains utilisateurs de Twitter ont commencé à changer leur nom d’affichage en chaînes de code susceptibles de déclencher l’exploit. Un autre utilisateur a modifié le nom de son iPhone pour faire de même et a soumis la découverte à Apple. Les chercheurs ont déclaré à Wired que l’approche pourrait également fonctionner en utilisant le courrier électronique.
L’Agence américaine de cybersécurité et de sécurité des infrastructures a émis une alerte sur cette vulnérabilité vendredi, tout comme le CERT australien. L’alerte de l’organisation gouvernementale de cybersécurité de Nouvelle-Zélande a noté que la vulnérabilité serait activement exploitée.
“C’est très grave”, déclare Wortley. “Tant de personnes sont vulnérables, et c’est si facile à exploiter. Il existe des facteurs d’atténuation, mais comme nous sommes dans le monde réel, de nombreuses entreprises qui ne disposent pas des versions actuelles se précipitent pour corriger ce problème.”
Apache évalue la vulnérabilité à un niveau de gravité “critique” et a publié des correctifs et des mesures d’atténuation vendredi. L’organisation indique que Chen Zhaojun, de l’équipe de sécurité d’Alibaba Cloud, a été le premier à divulguer la vulnérabilité.
La situation met en évidence les défis de la gestion des risques au sein des logiciels d’entreprise interdépendants. À l’instar de Minecraft, de nombreuses organisations devront développer leurs propres correctifs ou seront incapables de le faire immédiatement parce qu’elles utilisent des logiciels hérités, comme d’anciennes versions de Java. En outre, Log4j n’est pas un produit facile à patcher dans les services en direct, car si quelque chose ne va pas, une organisation pourrait compromettre ses capacités de journalisation au moment où elle en a le plus besoin pour surveiller les tentatives d’exploitation.
L’utilisateur moyen ne peut pas faire grand-chose, si ce n’est installer les mises à jour des différents services en ligne dès qu’elles sont disponibles ; le gros du travail à faire se situera du côté des entreprises, car les sociétés et les organisations se précipiteront pour mettre en œuvre les correctifs.
“Les organisations ayant atteint le stade de la maturité en matière de sécurité commenceront à évaluer leur exposition dans les heures qui suivent un exploit de ce type, mais certaines organisations prendront quelques semaines, et d’autres ne s’y intéresseront jamais”, a déclaré à Wired un ingénieur en sécurité d’une grande société de logiciels. Cette personne a demandé à ne pas être nommée car elle travaille en étroite collaboration avec les équipes d’intervention sur les infrastructures critiques pour remédier à cette vulnérabilité. “L’internet est en feu, cette m… est partout. Et je veux dire partout.”
Alors que des incidents comme le piratage de SolarWinds et ses retombées ont montré à quel point les choses peuvent mal tourner lorsque des attaquants infiltrent un logiciel couramment utilisé, la fusion de Log4j parle davantage de l’ampleur des effets d’une seule faille qui peut être ressentie si elle se trouve dans un morceau de code fondamental qui est incorporé dans un grand nombre de logiciels.
Source : Wired
