18 juin 2024

Log4Shell, la faille qui fait trembler tous les serveurs

L’attribut alt de cette image est vide, son nom de fichier est piratage-log4shell.jpg.

Des pirates ont profité de la découverte de ce qui apparaît être la plus grosse faille critique de l’histoire d’Internet pour lancer des attaques massives sur les serveurs des entreprises et organisations du monde entier.

Tesla, Microsoft, Apple, Twitter, ou encore le jeu Minecraft pourraient faire partie des victimes. il s’agit de la pire faille de l’histoire d’Internet. Cette vulnérabilité Zero Day critique a été identifiée à la fin du mois dernier dans la bibliothèque Apache Log4j Java par un membre de l’équipe sécurité d’Alibaba. Mais ce n’est que depuis deux jours que la Planète s’affole au sujet de cette faille.

Le 9 décembre, la Fondation Apache a publié log4j version 2.15.0 en tant que mise à jour d’urgence pour une vulnérabilité critique dans la bibliothèque log4j2. La vulnérabilité pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur un système avec un logiciel utilisant la bibliothèque Java log4j2 pour enregistrer des informations et des messages.
De nombreux logiciels et services en ligne basés sur Java exploitent l’utilitaire de journalisation open source log4j, les experts estiment que la vulnérabilité affecte des millions d’applications. Il est important de noter que tous les logiciels utilisant Java ne sont pas vulnérables. De plus, tous les logiciels utilisant log4j ne sont pas vulnérables, seuls les logiciels activant et tirant parti de la substitution de recherche de messages log4j. À partir de log4j 2.15.0, la substitution de recherche de message est désactivée par défaut.

La vulnérabilité a été initialement signalée via les sites de jeux Minecraft. Les sites avertissaient que les acteurs malveillants pouvaient exécuter du code malveillant sur les serveurs et les clients exécutant la version Java de Minecraft en manipulant les messages de journal via des messages de discussion bien conçus. La communauté de la sécurité s’est rapidement rendu compte que la cause première était plus profonde et qu’elle avait un impact bien plus large que Minecraft. Le 9 décembre, la vulnérabilité a commencé et est référencée sous le nom de CVE-2021-44228 et baptisé « Log4Shell ».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *