Prochaines portes ouvertes le 11/02 et 18/03 !
Image de couverture

Log4Shell

Plus d'informations sur cette vulnérabilité Java qui affole le monde du logiciel

Publié par Gandalf le 24 October 2022

Avec un score de 10/10 sur le système commun de notation des vulnérabilités (CVSS), impossible pour Log4Shell d’échapper aux gros titres et à l’affolement sur les réseaux. En effet, cette faille qui ne dispose pas encore de correctif officiel expose des milliers de serveurs à travers le monde à l’exécution de code à distance.

Détectée le 24 novembre par une équipe sécurité d’Alibaba Cloud, une CVE a été créée deux jours après (CVE-2021-44228). Basée sur une attaque bien connue d’empoisonnement de journaux d’évènements (ceux-ci permettent d’enregistrer tout évènement suspect sur un appareil informatique), l’action permet d’insérer et d’exécuter du code malveillant à distance. Comment fonctionne-t-il ?

1. Un attaquant insère la recherche JNDI (une API de Java) dans un champ d'en-tête susceptible d'être journalisé.

2. La chaîne de caractère est transmise à log4j pour la journalisation. 3. Log4j insère la chaîne de caractère, puis interroge le serveur LDAP malveillant.

4. Le serveur LDAP répond avec des informations de répertoire qui contiennent la classe Java malveillante.

5. L’application Java sur le serveur cible désérialise (ou télécharge) la classe Java malveillante et l'exécute.

Actuellement, le Québec a décidé de fermer près de 4 000 sites gouvernementaux. Twitter, Steam, iCloud et bien d’autres sont également en partie vulnérables. Même le programme Ghidra de la NSA peut être infecté. Pour rappel, la librairie Log4j a été développée par la communauté d’Apache gratuitement. Ses créateurs continuent de se rendre disponibles sur leur temps personnel pour tenter de répondre aux divers besoins du correctif.

Article : Log4Shell : derrière l'importante faille, l'éternelle question du soutien au logiciel libre (nextinpact.com)