2 min

Vulnérabilité Log4Shell : niveau d’alerte maximal

Une vulnérabilité, baptisée Log4Shell, a été identifiée dans « Log4j », bibliothèque utilisée par le langage de programmation Java. Elle expose donc toutes les applications web intégrant directement ou indirectement ledit langage. Le nombre de victimes potentielles est incalculable.

Le niveau d’alerte est maximal chez les éditeurs d’applications intégrant Java. Le Bundesamt für Sicherheit in der Informationstechnik (BSI – office fédéral de la sécurité des technologies de l’information), homologue allemand de l’ANSSI, vient de confirmer l’existence d’une faille de sécurité de très grande ampleur, baptisée Log4Shell.

Elle touche la bibliothèque open source de journalisation Log4j, développée par Apache, dans ses versions 2.0 à 2.14.1. Le CERT-FR précise que cette bibliothèque est massivement utilisée par les projets de développement et par les éditeurs de solutions logicielles basées sur Java/J2EE.

Selon le CERT-FR, cette vulnérabilité permet d’exécuter du code arbitraire à distance, y compris sans authentification, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification. Un hacker peut ainsi très facilement exécuter le malware de son choix sur le site ou l’application – crypto-miner, botnet, rançongiciel…

Le BSI juge cette menace « extrêmement critique », car Log4j est très répandue. La brèche touche tous les sites et logiciels qui utilisent Java directement, mais aussi ceux qui intègrent sa bibliothèque de journalisation indirectement. Parmi les logiciels contenant cette faille, on peut citer Struts2, Solr, Flink, ElasticSearch, Kafka ou Druid. La faille touche ainsi des applications aussi populaires que Minecraft, Azure, iCloud, Steam ou Oracle.

L’ANSSI conseille de mettre Log4j à jour vers la version 2.15.0, qui patche cette vulnérabilité, de toute urgence. Toutes les organisations doivent cartographier le plus rapidement possible l’ensemble des SI et logiciels susceptibles d’utiliser Log4j, et prendre les mesures nécessaires – y compris suspendre leurs services le temps de corriger la faille.

En effet, « le risque ne se limite pas aux serveurs web, contrairement à ce qu’on pourrait penser, mais aussi aux applications de bureautique ou aux systèmes embarqués qui sont souvent plus complexes ou même impossibles à mettre à jour », pointent les experts en cybersécurité de Sekoia.

« Cette vulnérabilité vient nous rappeler que tout système informatique moderne est constitué d’un empilement de centaines ou milliers de composants, et que le risque peut venir du plus inattendu ou inconnu d’entre eux. C’est un composant utilisé par presque tous les systèmes, souvent sans même le savoir, pour une fonction anodine (…), qui s’avère aujourd’hui le talon d’Achille d’Internet », note la société française spécialisée dans le bug bounty YesWeHack.

Partager cet article avec un ami