Il ne faut déjà plus parler de la faille Log4Shell au singulier, mais DES failles Log4Shell au pluriel. Le gestionnaire d’infrastructure Cloudflare vient de révéler que des pirates sont en train d’exploiter un second bug dans le module Log4j qui fait partie de Apache, le serveur web le plus utilisé dans le monde en 2021, toutes plateformes confondues.
Le nouveau bug, qui porte désormais la référence CVE-2021-45046 permet de réaliser des attaques de type DoS (Denial of Service) dans la version de Apache Log4j 2.15.0 censée pourtant être patchée. Le problème a été adressé dans la version 2.16.0. La fondation Apache alerte les utilisateurs : “cette vulnérabilité est activement exploitée et toute personne utilisant Log4j doit installer la mise à jour version 2.16.0 dès que possible, même si vous avez déjà fait la mise à jour 2.15.0”.
Log4Shell : les experts en sécurité ne sont pas au bout de leurs efforts
Pourtant le problème est loin de se limiter aux deux bugs reconnus par Apache. Selon la firme en sécurité Praetorian, il y aurait un troisième bug critique dans la version 2.15.0 du composant. Celui-ci “permet d’exfiltrer des données sensibles dans certaines conditions”. La caractérisation de la faille reste vague pour le moment, afin d’éviter qu’elle ne soit aussi vite exploitée par des pirates que les deux premières.
Car de nombreux groupes de pirates sont sur le coup : en tout il y a eu jusqu’ici plus de 1,8 millions d’attaques et tentatives d’attaques en lien avec les failles de sécurité Log4Shell. Plusieurs dizaines de malware divers et variés intègrent déjà la famille de failles pour faciliter leur propagation. Et il est tout à fait possible qu’il reste encore de nouveaux bugs à découvrir, et que le feuilleton continue de durer pendant encore quelques semaines, voire quelques mois.
Les chercheurs en sécurité de Dragos notent de leur côté que cette énorme série failles de sécurité met en lumière la nécessité de diversifier les composants au coeur des infrastructures du net – y compris lorsqu’il s’agit de composants open source : “cette vulnérabilité versatile, qui n’est spécifique à aucun vendeur et affecte aussi bien les logiciels propriétaires que open source, laissera une large cohorte d’industries exposées à de l’exploitation à distance, ce qui comprend la production d’électricité, d’eau, l’agroalimentaire, l’assemblage, le transport, et plus encore”
Et les chercheurs de poursuivre : “alors que les défenseurs du réseau ferment les routes qui débouchent sur les exploits les plus simplistes et que leurs adversaires incorporent la vulnérabilité dans leurs attaques, des variations plus sophistiquées des exploits Log4j vont émerger avec un risque accru que cela puisse impacter directement des systèmes de monitoring et de contrôle industriels”.
Lire aussi – Log4Shell – pourquoi cette énorme faille informatique fait paniquer les experts
Au moment où nous écrivons ces lignes, il reste relativement facile d’exploiter la faille de sécurité Log4Shell sur de nombreux sites – même si les plus grandes plateformes comme Apple, Microsoft et Google ont déjà réglé le problème sur leurs services.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Log4j est TOTALEMENT indépendant de du serveur web Apache ! C’est un module de journalisation, càd gestion de logs pour les applications JAVA. N’importe quelle application JAVA peut donc l’utiliser et donc que ce soit les PCs persos Win/Linux/Mac, des serveurs, des objets connectés, tous peuvent être attaqués. D’où le 10/10 de niveau de menace.
Merci, j’allais commenter dans ce sens moi-même.
Pour préciser, log4j est *développé* par la fondation Apache, qui développe également le serveur web éponyme. D’où la confusion je suppose…
La confusion est plus complexe en fait. La “fondation Apache” développe (ou gère) 2 serveurs Web. Le plus connu est “HTTPD” (et quand on parle de serveur Apache, c’est celui-là) qui n’est pas touché par la faille de sécurité. Il y a aussi TOMCAT, qui est aussi un serveur de la fondation mais en JAVA, et qui, lui, est vulnérable. Il est souvent utilisé en entreprise.
Il n’y a que les Debian qui confondent Apache (la fondation) et Httpd. Apache n’est pas, n’a jamais été et ne sera jamais un serveur. C’est le nom de la fondation. Sur CentOS, Fedora, Suse, Arch… Ça s’appelle httpd.
Le type qui a introduit la fonction d’interprétation de données de log (venant essentiellement des utilisateurs sur un serveur web) va se faire taper sur les doigts, c’est complètement débile. Qui peut vouloir faire ça à part la CIA ?
Une précision : seul Log4j 2 (versions 2.x) est affecté. Log4j (versions 1.x) toujours utilisé par beaucoup d’applications ne l’est pas.