Vulnérabilité dans Apache Log4j
Le 9 décembre 2021, le monde a pris connaissance d'une nouvelle vulnérabilité identifiée comme CVE-2021-44228, affectant le paquetage de journalisation Java log4j. Cette vulnérabilité a obtenu un score de gravité de 10.0 (la désignation la plus critique) et offre une exécution de code à distance triviale sur les hôtes utilisant un logiciel qui utilise cette version de log4j. Cette attaque a été surnommée "Log4Shell" permet à un attaquant de provoquer une exécution de code arbitraire à distance s'il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l'évènement. Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d'une page d'authentification qui journalise les erreurs d'authentification. Cette vulnérabilité fait désormais l'objet d'une exploitation.
Aujourd'hui, la version 2.15.0rc2 de log4j est disponible et corrige cette vulnérabilité. Cependant, le danger de cette vulnérabilité est dû à l'omniprésence du paquet de journalisation. Des millions d'applications ainsi que des fournisseurs de logiciels utilisent ce paquet comme une dépendance dans leur propre code. Si vous êtes en mesure de corriger votre propre base de code à l'aide de log4j, les autres fournisseurs et fabricants devront toujours diffuser leurs propres mises à jour de sécurité en aval. De nombreux chercheurs en sécurité ont comparé cette vulnérabilité à celle de Shellshock par la nature de son énorme surface d'attaque. Nous verrons cette vulnérabilité dans les années à venir.
SOLUTION
Il est fortement recommandé aux utilisateurs d'applications ou de logiciels sur étagère basés sur la technologie Java/J2EE :
- de filtrer les flux sortants des serveurs pour les limiter aux seuls flux autorisés vers des services de confiance ;
- de prendre contact avec le développeur ou l'éditeur pour vérifier s'ils sont exposés à cette vulnérabilité et si un correctif est disponible.
Il est fortement recommandé aux développeurs/éditeurs de mettre à jour log4j à la version 2.15.0 et de fournir une nouvelle version de leur logiciel dans les plus brefs délais.
Références