Introduction
Les cybercriminels exploitent activement une vulnérabilité d'exécution de code à distance trouvée dans le paquet de journalisation log4j2, utilisé dans la plupart des applications Java. Un programme est vulnérable s'il enregistre les entrées utilisateur à l'aide du paquet log4j2 : l'outil de gestion des logs le plus utilisé dans Java. Étant donné que les développeurs ont tendance à enregistrer la quasi-totalité des entrées à des fins de débogage, presque toutes les applications enregistrent les entrées utilisateur.
L'attaque
Il suffit à un cybercriminel d'envoyer une seule ligne de texte à une application vulnérable. Une fois que l'application enregistre cette ligne de texte, la charge utile (payload) contenue dans le texte sera récupérée par le système et exécutée. L'attaquant sera en mesure d'exécuter à distance du code sur l'ordinateur hébergeant l'application. De nombreuses preuves de concept de l'attaque sont déjà disponibles sur Internet. La vulnérabilité n'affecte pas seulement les systèmes directement connectés à Internet, mais aussi les systèmes back-end. Si les attaquants tentent d'exploiter la vulnérabilité sur les serveurs Web, il est possible que cette attaque aboutisse sur les serveurs back-end. Si l'un de ces serveurs contient une application Java vulnérable traitant les entrées utilisateur, un attaquant pourrait exécuter du code sur vos serveurs back-end.
Versions concernées
Toutes les versions à partir de 2.0-beta9 jusqu'à 2.15 du paquet log4j2 sont concernées. Les versions 1.x de log4j ne sont pas concernées, mais ont atteint la fin de leur cycle de vie depuis août 2015 et ne doivent donc pas être considérées comme sûres.
Atténuation
Mettez à jour log4j2 à la version 2.17.0 ou supérieure (nécessite un accès et un redémarrage). Les variantes pour les anciennes versions de Java (6 ou 7) sont disponibles sur le site Web Apache.org.
Si vous ne pouvez pas mettre à jour votre bibliothèque log4j2, il existe quelques options d'atténuation disponibles. Le site Apache.org en propose une liste ici.
Produits affectés
Cette vulnérabilité peut vous affecter dans plusieurs domaines. Les produits que vous utilisez peuvent être affectés, mais aussi les applications développées en interne et les applications SaaS dans le cloud. La plupart des grands fournisseurs de SaaS ont déjà pris les mesures appropriées.
Des centaines de produits sont vulnérables à la faille de Log4Shell. Les fournisseurs concernés sont FortiNet, Dell, Apache, Microsoft, N-Able et VMware. Le Centre national de cybersécurité (NCSC) des Pays-Bas a publié une liste de tous les logiciels affectés. Consultez cette liste pour déterminer si votre entreprise utilise un logiciel vulnérable et, le cas échéant, veillez à le mettre à niveau dès qu'une mise à jour est disponible.
Si votre entreprise (ou l'un de vos fournisseurs informatiques) développe des logiciels Java personnalisés, tels que des applications Web, vérifiez si log4j2 est utilisé dans le produit. Si c'est le cas, la version de log4j2 doit être mise à jour vers la dernière version.
Sources
