Des chercheurs en informatique ont alerté publiquement dès le vendredi 10 décembre 2021 sur une faille gravissime qui touche Apache Log4j, une bibliothèque Java (un langage informatique) particulièrement répandue.
Depuis hier soir, les Centres gouvernementaux de veille, d’alerte et de réponse aux attaques informatiques (Cert), affirment qu’elle est actuellement abondamment utilisée par les hackers pour exécuter du code à distance et mener des attaques. L’organisme lui a attribué une note de 10/10 en matière de dangerosité. Et pour cause ! Cette faille touche pratiquement tous les serveurs exploitant Java !
Pratiquement aucun géant de la high-tech n’est épargné et c’est aussi le cas de très nombreux sites et services gouvernementaux partout sur la Planète. Ainsi, à titre d’exemple, Tesla, Apple, la boutique de jeux Microsoft Steam, le jeu Minecraft, Twitter et même le spécialiste de la sécurité Cloudflare sont impactés. Un correctif a été rapidement mis en place par la fondation Apache mais le mal est déjà fait car les pirates en ont déjà profité pour mener des attaques massives. Le temps que cette mise à jour soit appliquée partout leur donnera une bonne marge de manœuvre pour mener leurs méfaits.
Une faille facile à exploiter
Concrètement, la faille semble impressionnante de simplicité. Le pirate n’a besoin de saisir que quelques instructions pour s’introduire dans un ordinateur cible. Il suffit que l’adresse d’une page web contenant du code malveillant rédigé en Java soit insérée à la place d’une adresse e-mail d’une page de connexion, par exemple Twitter, pour que ce code soit exécuté. À partir de ce moment, le pirate peut prendre le contrôle du serveur en installant des malwares. De même, l’introduction de ce code malveillant dans un chat de Minecraft est vecteur de contamination.
Avec les malwares, le pirate peut sans difficulté accéder à distance aux ordinateurs et collecter leurs données, les utiliser pour réaliser du cryptominage… Selon certains experts, cette grosse faille montre aussi que les logiciels open source sont désormais la cible facile des attaques étant donné qu’ils sont massivement employés sur les infrastructures.
Ainsi, des centaines de composants de différents sources sont utilisés sur les serveurs. Il se trouve que certains disposent de vulnérabilités critiques depuis plusieurs années sans que personne ne l’ait détectées. Il reste donc difficile de sécuriser des architectures complètes animées par ces logiciels.
Cette vulnérabilité permet d’exécuter du code à distance sans authentification et d’accéder aux serveurs concernés. Il s’agit d’une faille rêvée pour des attaquants comme des opérateurs de ransomware. De quoi donner des sueurs froides aux éditeurs et utilisateurs de ces services comme Apple ou Steam, qui ont passé le week-end à faire les inventaires de leurs infrastructures pour en vérifier l’exposition. La question qui se pose est: depuis quand la faille Log4Shell était-elle exploitée ?
A savoir
Une vulnérabilité dans Apache Log4j, un package de journalisation largement utilisé pour Java a été trouvée. La vulnérabilité, qui peut permettre à un attaquant d’exécuter du code arbitraire en envoyant des messages de journal spécialement conçus, a été identifiée comme CVE-2021-44228 et a reçu le nom Log4Shell. Il a été signalé pour la première fois en privé à Apache le 24 novembre et a été corrigé avec la version 2.15.0 de Log4j le 9 décembre. Il affecte Apache Struts, Apache Solr, Apache Druid, Elasticsearch, Apache Dubbo et VMware vCenter.