Les versions Log4j inférieures à la version 2.15.0 sont vulnérables à une exécution de code à distance (RCE : Remote Code Execution). Cette vulnérabilité publiée le 10.12.2021 est critique et est activement exploitée.

L’exploit de cette vulnérabilité est disponible sur internet et est facile à mettre en pratique.

CVE-2021-44228

CVE-2021-44228 est une vulnérabilité émergente dans le paquet de journalisation Java nommé “Log4j”, avec une menace critique de mauvais acteurs obtenant facilement l’exécution de code à distance (RCE) sur les serveurs utilisant “Log4j”. Le danger réside dans le fait que “Log4j” est tellement omniprésent qu’il est utilisé avec de nombreux logiciels Apache comme Apache Struts, Solr, Druid, ainsi que d’autres technologies comme Redis, ElasticSearch et même des jeux vidéo comme Minecraft.

Différents sites web de fabricants et de fournisseurs se sont avérés être affectés comme Apple, Twitter, Steam, Tesla et bien d’autres. Sans vouloir donner l’impression que le ciel nous tombe sur la tête, les chercheurs en sécurité informatique considèrent que cette faille ressemble beaucoup à celle de “Shellshock”, en raison de l’énorme surface d’attaque qu’elle représente. En définitive, des millions d’applications utilisent Log4j pour la journalisation.

L’unique chose qu’un acteur malveillant doit fournir pour réussir son attaque est une simple ligne de texte.

Exploitation

Les acteurs de la menace incluront probablement l’exploit, une simple ligne de texte, dans de simples connexions HTTP (dans l’en-tête User-Agent ou dans des données des formulaires lors d’une requête POST).

Les organisations constatent déjà des signes d’exploitation et les attaques ne feront que d’augmenter. Il ne s’agit pas d’une attaque ciblée étant donné que les scans de cette vulnérabilité avaient commencé avant même qu’un numéro CVE ne lui soit attribué.

Correctif

Un correctif pour la vulnérabilité CVE-2021-44228 a été publié, mais malheureusement, de nombreux utilisateurs devront compter sur leurs fournisseurs afin que les mises à jour de sécurité soient appliquées sur leurs propres produits.

Si votre organisation utilise Apache Log4j, il est vivement recommandé d’effectuer une mise à jour à la version Log4j-2.1.50-rc2 dès que possible.