L'impact de la tristement célèbre vulnérabilité de la bibliothèque Java Log4j s'éternise. Bien que le plus gros problème ait été résolu avec le patch urgent 2.16, cette version semble également susceptible d'abus. Les chercheurs en sécurité ont trouvé une porte d'entrée pour les attaques par déni de service (DoS). Log4j 2.17 a été publié pour fermer l'entrée.
Apache, développeur de la bibliothèque Java, conseille aux organisations d'appliquer le correctif d'urgence. Ce conseil s'applique pour la troisième fois depuis que la bibliothèque a été jugée vulnérable.
Il y a une semaine et demie, des chercheurs en sécurité d'Alibaba cloud L'équipe de sécurité a révélé une méthode pour abuser des applications avec Log4j. Log4j est utilisé dans les applications pour consigner les événements. Il s'est avéré possible d'accéder aux applications avec la bibliothèque depuis l'extérieur avec des instructions pour exécuter des logiciels malveillants. L'abus prend un peu plus d'un claquement de doigts. Ajoutez à cela l'occurrence estimée de la bibliothèque dans la plupart des environnements d'entreprise et vous comprenez l'ampleur de la catastrophe à laquelle est confronté le paysage informatique mondial.
Les développeurs de logiciels tels que Fortinet, Cisco, IBM et des dizaines d'autres utilisent la bibliothèque dans leurs logiciels. Leurs développeurs ont travaillé des heures supplémentaires pendant le week-end du 11 décembre pour traiter le premier correctif d'urgence pour la vulnérabilité et le livrer aux organisations utilisatrices. Exactement la même dérive était attendue des équipes informatiques au sein de ces organisations. Des centaines de milliers de tentatives d'attaques ont eu lieu dans le monde. Tout le monde devait passer à 2.15 dès que possible – jusqu'à ce que 2.15 se révèle également vulnérable.
Certaines configurations de la bibliothèque restaient possibles dans la version 2.15. L'utilisation de ces configurations a perpétué la vulnérabilité. La version 2.16 rendait les configurations impossibles, garantissant un nouveau patch. Souvent au grand dam d'équipes informatiques déjà débordées. Cependant, cela peut toujours être pire, car 2.16 a aussi une maladie.
Retour au début
L'attention mondiale massive portée au problème a suscité une enquête mondiale massive. Apache, développeur de la bibliothèque, ne semble pas pouvoir reprendre son souffle pendant deux jours sans qu'une société de sécurité ne signale un nouveau problème urgent.
Bref, il s'avère qu'il est possible de faire tourner des dizaines de versions de log4j – dont la 2.16 – avec une seule ligne (string) pour lancer une boucle éternelle qui plante l'application. Les conditions qu'un environnement doit remplir pour être abusé sont nombreuses. Si vaste que la gravité pratique du problème est contestée. Le patch est officiellement recommandé, mais tout le monde n'est pas convaincu.
Encore une fois, toutes les instances de Log4j ne sont pas vulnérables, mais uniquement les cas où la bibliothèque s'exécute avec des paramètres personnalisés. Un attaquant potentiel a également besoin d'informations détaillées sur le fonctionnement de Log4j. Un contraste avec la vulnérabilité initiale, facilement accessible.