Les équipes de sécurité des entreprises, grandes et petites, se démènent pour corriger une vulnérabilité auparavant inconnue appelée Log4Shell, qui pourrait permettre aux pirates de compromettre des millions d'appareils sur Internet.
Si elle est exploitée, la vulnérabilité permet l'exécution de code à distance sur des serveurs vulnérables, donnant à un attaquant la possibilité d'importer des logiciels malveillants qui compromettraient complètement les machines.
La vulnérabilité se trouve dans log4j, un bibliothèque de journalisation open source utilisée par les applications et les services sur Internet. La journalisation est un processus dans lequel les applications conservent une liste courante des activités qu'elles ont effectuées, qui peuvent ensuite être examinées en cas d'erreur. Presque tous les systèmes de sécurité réseau exécutent une sorte de processus de journalisation, ce qui donne aux bibliothèques populaires comme log4j une portée énorme.
« Quand je regarde en arrière au cours des 10 dernières années, il n'y a que deux autres exploits auxquels je peux penser avec une gravité similaire »
Marcus Hutchins, un éminent chercheur en sécurité connu pour avoir stoppé l'attaque mondiale de logiciels malveillants WannaCry , a noté en ligne que des millions d'applications seraient affectées. “Des millions d'applications utilisent Log4j pour la journalisation, et tout ce que l'attaquant doit faire est de demander à l'application de consigner une chaîne spéciale”, a déclaré Hutchins dans un tweet.
L'exploit a été détecté pour la première fois sur des sites hébergeant des serveurs Minecraft, qui ont découvert que les attaquants pouvaient déclencher la vulnérabilité en publiant des messages de discussion. Un tweet de la société d'analyse de sécurité GreyNoise a rapporté que la société a déjà détecté de nombreux serveurs recherchant sur Internet des machines vulnérables à l'exploit.
Un article de blog de la société de sécurité d'applications LunaSec a affirmé que la plate-forme de jeu Steam et iCloud d'Apple s'étaient déjà révélés vulnérables. Ni Valve ni Apple n'ont immédiatement répondu à une demande de commentaire.
Pour exploiter la vulnérabilité, un attaquant doit obliger l'application à enregistrer une chaîne de caractères spéciale dans le journal. Étant donné que les applications enregistrent régulièrement un large éventail d'événements, tels que les messages envoyés et reçus par les utilisateurs ou les détails des erreurs système, la vulnérabilité est exceptionnellement facile à exploiter et peut être déclenchée de diverses manières.
“Il s'agit d'une vulnérabilité très grave en raison de l'utilisation généralisée de Java et de ce package log4j”, a déclaré le directeur technique de Cloudflare, John Graham-Cumming, à The Verge. « Il existe une quantité énorme de logiciels Java connectés à Internet et aux systèmes dorsaux. Quand je regarde en arrière sur les 10 dernières années, il n'y a que deux autres exploits auxquels je peux penser avec une gravité similaire : Heartbleed, qui vous a permis d'obtenir des informations à partir de serveurs qui auraient dû être sécurisés, et Shellshock, qui vous a permis d'exécuter du code. sur une machine distante. »
Cependant, la diversité des applications vulnérables à l'exploit et la gamme des mécanismes de livraison possibles, signifient que la protection par pare-feu à elle seule n'élimine pas le risque. Théoriquement, l'exploit pourrait même être réalisé physiquement en masquant la chaîne d'attaque dans un code QR qui a été scanné par une entreprise de livraison de colis, se frayant un chemin dans le système sans avoir été envoyé directement sur Internet.
Une mise à jour de la bibliothèque log4j a déjà été publiée pour atténuer la vulnérabilité, mais étant donné le temps nécessaire pour s'assurer que toutes les machines vulnérables sont mises à jour, Log4Shell reste une menace pressante.