Avec un score de 10/10 sur le système commun de notation des vulnérabilités (CVSS),
impossible pour Log4Shell d’échapper aux gros titres et à l’affolement sur les réseaux. En
effet, cette faille qui ne dispose pas encore de correctif officiel expose des milliers de
serveurs à travers le monde à l’exécution de code à distance.
Détectée le 24 novembre par une équipe sécurité d’Alibaba Cloud, une CVE a été créée deux jours après (CVE-2021-44228). Basée sur une attaque bien connue d’empoisonnement de journaux d’évènements (ceux-ci permettent d’enregistrer tout évènement suspect sur un appareil informatique), l’action permet d’insérer et d’exécuter du code malveillant à distance. Comment fonctionne-t-il ?
1. Un attaquant insère la recherche JNDI (une API de Java) dans un champ d'en-tête susceptible d'être journalisé.
2. La chaîne de caractère est transmise à log4j pour la journalisation. 3. Log4j insère la chaîne de caractère, puis interroge le serveur LDAP malveillant.
4. Le serveur LDAP répond avec des informations de répertoire qui contiennent la classe Java malveillante.
5. L’application Java sur le serveur cible désérialise (ou télécharge) la classe Java malveillante et l'exécute.
Actuellement, le Québec a décidé de fermer près de 4 000 sites gouvernementaux. Twitter, Steam, iCloud et bien d’autres sont également en partie vulnérables. Même le programme Ghidra de la NSA peut être infecté. Pour rappel, la librairie Log4j a été développée par la communauté d’Apache gratuitement. Ses créateurs continuent de se rendre disponibles sur leur temps personnel pour tenter de répondre aux divers besoins du correctif.