log4j 2.16 vulnérable aux attaques DoS, patch urgent 2.17 conseillé

L'impact de la fameuse vulnérabilité de la bibliothèque Java Log4j s'éternise. Bien que le plus gros problème ait été résolu avec un correctif urgent 2.16, cette version semble également être susceptible d'abus. Des chercheurs en sécurité ont trouvé une entrée pour le déni de service (À partir de) attaques. log4j 2.17 a été publié pour fermer l'entrée.

Apache, développeur de la bibliothèque Java, conseille aux organisations d'appliquer le patch d'urgence. Cet avis s'applique pour la troisième fois depuis que la bibliothèque a été jugée vulnérable.

Il y a une semaine et demie, des chercheurs en sécurité de l'équipe de sécurité cloud d'Alibaba ont révélé une méthode pour abuser des applications avec Log4j. Log4j est utilisé dans les applications pour enregistrer les événements. Il s'est avéré possible d'accéder aux applications avec la bibliothèque de l'extérieur avec des instructions pour exécuter des logiciels malveillants. L'abus prend un peu plus qu'un clin d'œil. Ajoutez à cela l'occurrence estimée de la bibliothèque dans la plupart des environnements d'entreprise et vous comprenez l'ampleur du désastre auquel est confronté le paysage informatique mondial.

Développeurs de logiciels tels que Fortinet, Cisco, IBM et des dizaines d'autres utilisent la bibliothèque dans leur logiciel. Leurs développeurs ont fait des heures supplémentaires le week-end de décembre 11 pour traiter le premier correctif d'urgence pour la vulnérabilité et le fournir aux organisations d'utilisateurs. Exactement la même dérive était attendue des équipes informatiques au sein de ces organisations. Des centaines de milliers de tentatives d'attaques ont eu lieu dans le monde. Tout le monde a dû passer à 2.15 dès que possible - jusqu'à 2.15 s'est également avéré vulnérable.

Certaines configurations de la librairie restaient possibles en version 2.15. L'utilisation de ces configurations a perpétué la vulnérabilité. Version 2.16 rendu les configurations impossibles, garantir un nouveau patch. Souvent au grand dam des équipes informatiques déjà surmenées. pourtant, ça peut toujours être pire, car 2.16 a aussi une maladie.

Retour au début

L'attention mondiale massive au problème a suscité une enquête mondiale massive. Apache, développeur de la bibliothèque, ne semble pas pouvoir reprendre son souffle pendant deux jours sans qu'une entreprise de sécurité ne signale un nouveau, problème urgent.

En bref, il s'avère qu'il est possible d'exécuter des dizaines de versions de log4j - y compris 2.16 – avec une ligne (chaîne de caractères) pour démarrer une boucle éternelle qui plante l'application. Les conditions qu'un environnement doit remplir pour être abusé sont vastes. Si vaste que la gravité pratique du problème est contestée. Le patch est officiellement recommandé, mais tout le monde n'est pas convaincu.

Encore, toutes les instances de Log4j ne sont pas vulnérables, mais uniquement les cas où la bibliothèque s'exécute sur des paramètres personnalisés. Un attaquant potentiel a également besoin d'un aperçu détaillé du fonctionnement de Log4j. Un contraste avec l'initiale, vulnérabilité facilement accessible.